Stripeを狙う悪性NuGet パッケージStripeApi.Netが出現|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年03月04日更新日時: 2026年03月04日

ReversingLabsは2026年2月25日、決済プラットフォームStripeの公式NuGetパッケージStripe.netになりすました悪性パッケージStripeApi.Netを確認したと報告しました。過去に暗号資産関連（Coinbase、Binance、Solana、Nethereum等）を狙ったNuGetキャンペーンが観測されていましたが、今回は金融（決済）領域の開発者に標的が移った形です。

1 攻撃の狙い
2 手口
- 2.1 タイポスクワッティングでStripe.netを偽装
- 2.2 ダウンロード数を水増し
3 悪性コードの中身
- 3.1 StripeClient初期化時にAPIトークンを窃取
- 3.2 Supabaseを使って外部送信
4 実被害の可能性
5 IOC

攻撃の狙い

Stripe.netは.NETアプリからStripeのAPIを扱うためのライブラリで、開発者はこのパッケージを組み込むことで認証、エラーハンドリング、データ変換などを簡略化できます。

もし偽パッケージを誤って導入すると、アプリ自体は正常に動作しているように見える一方で、StripeのAPIキー（トークン）などの機密が裏で抜き取られ、Stripeアカウントの不正利用や課金・取引操作の足掛かりになり得ます。

手口

タイポスクワッティングでStripe.netを偽装

攻撃者はStripe.netを直接改ざんするのではなく、名前の似たStripeApi.Netを公開し、検索や手入力のミスを誘ってインストールさせるタイポスクワッティングを選んでいます。NuGetページは公式に寄せて作られており、アイコン、README、タグ、外部リンク（公式Stripe資産への誘導）、所有者名（StripePayments）などを用いて正規に見せかけていました。

ダウンロード数を水増し

StripeApi.Netは18万超のダウンロードがあるように見えるものの、ReversingLabsは大半（あるいは全て）が人工的に水増しされた可能性が高いと分析しています。特徴的なのは、1つのバージョンに集中させず、506バージョンに分散して平均約300件ずつ積む目立ちにくい水増しをされています

悪性コードの中身

StripeClient初期化時にAPIトークンを窃取

パッケージ内のDLLは、正規Stripe.net相当のコード・挙動を多く残したまま、重要なメソッドを改変して情報窃取を行います。具体的には、StripeClientクラス初期化時に利用者のAPIトークンを取得するよう改変されており、このライブラリを使う限り初期化処理は通るため、窃取が成立しやすい設計です。

Supabaseを使って外部送信

窃取したAPIトークンは、端末名由来の簡易IDと合わせてSupabase（正規のBaaS）上の攻撃者管理先へ送信する実装でした。攻撃者にとっては、無料枠がありインフラ構築が容易なSupabaseを回収基盤”して使える点が都合がよいと説明されています。

実被害の可能性

ReversingLabsは、パッケージ公開から調査・通報までが早く、NuGet運営側が通報後に削除対応したこと、さらにSupabase側のデータベースを確認しても窃取トークンが見当たらずテストエントリのみだったことから、実際の被害者が出た可能性は低いと見ています。とはいえ、同種の供給網攻撃は今後も再発し得るため、被害が小さいうちに手口を理解して対策へ落とすことが重要です。