Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Malicious StripeApi NuGet Package Mimicked Official Library and Stole API Tokens

1 minute de lecture

Mis à jour :

Usurpation d’Identité d’une Bibliothèque Financière sur NuGet pour Vol de Données

Une campagne malveillante a ciblé les développeurs via la plateforme NuGet en distribuant un paquet nommé StripeApi.Net. Ce dernier imitait de près la bibliothèque légitime Stripe.net, utilisée par des millions de développeurs pour interagir avec les services financiers de Stripe.

Les imposteurs ont reproduit l’icône et la documentation du paquet officiel pour gagner la confiance des utilisateurs. Afin de simuler une popularité légitime, le nombre de téléchargements a été artificiellement gonflé, réparti sur de nombreuses versions distinctes. Le code malveillant, bien qu’exécutant les fonctions attendues du paquet légitime, incorporait des modifications discrètes pour voler les jetons d’API Stripe des utilisateurs. Ces informations sensibles étaient ensuite envoyées à l’attaquant, sans altérer le bon fonctionnement apparent des applications.

Cette tactique, connue sous le nom de typosquatting, permet aux attaquants de subtiliser des données critiques en se faisant passer pour des outils de confiance, rendant la détection difficile pour les développeurs.

Points Clés :

  • Distribution d’un paquet malveillant (StripeApi.Net) sur la galerie NuGet.
  • Imitation d’une bibliothèque légitime (Stripe.net) pour tromper les développeurs.
  • Vol de jetons d’API Stripe via des modifications dissimulées dans le code.
  • Absence de perturbation visible du fonctionnement des applications impactées.
  • Tentative de crédibilisation par inflation artificielle du nombre de téléchargements.

Vulnérabilités :

  • Aucun identifiant CVE n’est spécifié dans l’article. La vulnérabilité réside dans l’ingénierie sociale et le typosquatting au niveau de la chaîne d’approvisionnement logicielle.

Recommandations :

  • Vérification Rigoureuse des Dépendances : Toujours vérifier l’authenticité des paquets lors de leur ajout aux projets, en prêtant attention au nom de l’éditeur, au nombre de téléchargements et à la réputation générale du paquet.
  • Contrôle des Permissions des Clés API : Limiter strictement les permissions accordées aux clés API Stripe pour minimiser l’impact d’une éventuelle compromission.
  • Surveillance des Activités Inhabituelles : Mettre en place des mécanismes de surveillance pour détecter des exfiltrations de données ou des communications réseau suspectes provenant des applications.
  • Utilisation d’Outils de Sécurité de la Chaîne d’Approvisionnement : Employer des outils capables d’analyser les dépendances pour détecter des paquets malveillants ou des comportements anormaux.

Source

Vous pourriez aimer