كشف باحثون في الأمن السيبراني عن حزمة خبيثة جديدة على منصة NuGet Gallery تحمل اسم StripeApi.Net، صُممت لتبدو وكأنها المكتبة الرسمية Stripe.net التابعة لشركة الخدمات المالية الشهيرة Stripe، والتي تجاوزت تحميلاتها 75 مليون مرة. الحزمة المزيفة تم رفعها في 16 فبراير 2026 بواسطة مستخدم باسم StripePayments، قبل أن يتم حذفها سريعاً بعد اكتشافها.
الحزمة اعتمدت على تقنيات Typosquatting، حيث تم تغيير الاسم بشكل طفيف ليبدو مقنعاً، مع استخدام نفس الأيقونة وملف README مشابه تماماً للمكتبة الأصلية، باستثناء استبدال كلمة “Stripe.net” بـ “Stripe-net”.
أساليب التضليل ورفع المصداقية
لإضفاء مزيد من المصداقية، قام المهاجمون بتضخيم عدد التحميلات بشكل مصطنع ليصل إلى أكثر من 180 ألف تحميل، موزعة على 506 إصدارات مختلفة، بحيث يظهر كل إصدار وكأنه تم تحميله نحو 300 مرة. هذا الأسلوب جعل الحزمة تبدو وكأنها مستخدمة على نطاق واسع، ما زاد من احتمالية وقوع المطورين في الفخ.
آلية سرقة البيانات واستهداف القطاع المالي
الحزمة المزيفة لم تكتف بتقليد وظائف المكتبة الأصلية، بل عدّلت بعض الأساليب البرمجية الحرجة لجمع بيانات حساسة، أبرزها رموز واجهة برمجة التطبيقات (API Tokens) الخاصة بمستخدمي Stripe، ثم إرسالها إلى المهاجمين.
وبما أن بقية الوظائف ظلت تعمل بشكل طبيعي، فإن التطبيقات التي دمجت الحزمة المزيفة كانت قادرة على معالجة المدفوعات بشكل صحيح، مما جعل المطورين يظنون أن كل شيء يعمل كما ينبغي، بينما يتم في الخلفية سرقة البيانات دون أي مؤشرات واضحة.
دلالات على تطور الهجمات في سلاسل التوريد البرمجية
أشارت شركة ReversingLabs إلى أن اكتشاف الحزمة تم بسرعة نسبية، ما ساعد على تقليل الأضرار المحتملة. لكنها لفتت إلى أن هذه الحملة تمثل تحولاً في استهداف سلاسل التوريد البرمجية، حيث انتقل المهاجمون من استهداف أنظمة العملات الرقمية وسرقة مفاتيح المحافظ إلى القطاع المالي التقليدي عبر مكتبات الدفع.
هذا التطور يعكس خطورة الاعتماد على مكتبات خارجية دون التحقق من مصدرها، ويؤكد الحاجة إلى تعزيز آليات التدقيق الأمني في بيئات التطوير، خاصة في القطاعات الحساسة مثل الخدمات المالية.
