Investigadores de ciberseguridad han revelado detalles de un nuevo paquete malicioso descubierto en la Galería NuGet, que se hace pasar por una biblioteca de la empresa de servicios financieros Stripe en un intento de apuntar al sector financiero.

El paquete, cuyo nombre en código es StripeApi.Net, intenta hacerse pasar por raya.netuna biblioteca legítima de Stripe que cuenta con más de 75 millones de descargas. Fue subido por un usuario llamado StripePayments el 16 de febrero de 2026. El paquete ya no está disponible.

«La página NuGet para el paquete malicioso está configurada para parecerse lo más posible al paquete oficial Stripe.net», ReversingLabs Petar Kirhmajer dicho. «Utiliza el mismo ícono que el paquete legítimo y contiene un archivo Léame casi idéntico, solo intercambia las referencias a ‘Stripe.net’ para que diga ‘Stripe-net’».

En un esfuerzo adicional por dar credibilidad al paquete con errores tipográficos, se dice que el actor de amenazas detrás de la campaña infló artificialmente el recuento de descargas a más de 180.000. Pero en un giro interesante, las descargas se dividieron en 506 versiones, y cada versión registró unas 300 descargas en promedio.

El paquete replica algunas de las funciones del paquete Stripe legítimo, pero también modifica ciertos métodos críticos para recopilar y transferir datos confidenciales, incluido el token API de Stripe del usuario, al actor de la amenaza. Dado que el resto de las bases de código siguen siendo completamente funcionales, es poco probable que atraiga sospechas de desarrolladores desprevenidos que puedan haberlo descargado sin darse cuenta.

ReversingLabs dijo que descubrió e informó sobre el paquete «relativamente pronto» después de su lanzamiento inicial, lo que provocó que lo tomaran antes de que pudiera causar daños graves.

La empresa de seguridad de la cadena de suministro de software también señaló que la actividad marca un cambio con respecto a campañas anteriores que aprovecharon paquetes NuGet falsos para apuntar al ecosistema de criptomonedas y facilitar el robo de claves de billetera.

«Los desarrolladores que por error descarguen e integren una biblioteca con errores tipográficos como StripeAPI.net aún tendrán sus aplicaciones compiladas exitosamente y funcionarán según lo previsto», dijo Kirhmajer. «Los pagos se procesarían normalmente y, desde la perspectiva del desarrollador, nada parecería roto. Sin embargo, en el fondo, actores maliciosos copian y filtran en secreto datos confidenciales».