حزمة StripeApi الخبيثة على NuGet تسرق رموز API

حزمة StripeApi الخبيثة على NuGet استهدفت مطوري الدفع عبر تقليد مكتبة Stripe الرسمية وسرقة رموز API قبل حذفها من المتجر في فبراير 2026.

كيف تعمل حزمة StripeApi الخبيثة على NuGet؟

تبيّن أن StripeApi.Net صممت لتبدو كنسخة من مكتبة Stripe.net الرسمية التي تجاوزت 75 مليون تنزيل، ما جعلها جذابة للمطورين الذين يبحثون عن تكامل سريع مع بوابات الدفع. تم رفع الحزمة بواسطة حساب باسم StripePayments في 16 فبراير 2026 قبل أن تُزال لاحقاً.

ما الذي تم تقليده؟

• نفس الأيقونة والهوية البصرية تقريباً.
• ملف readme شبه مطابق مع استبدال Stripe.net بـ Stripe-net.
• أسماء الحزمة والمراجع البرمجية مصممة لاستغلال أخطاء الكتابة.

هذا الأسلوب يُعرف بالتصيد بالأخطاء الإملائية، ويعتمد على ثقة المطور في الاسم المشابه، بينما تبقى بيئة التطوير تعمل دون أخطاء واضحة. كما أن التشابه يجعل فرق المراجعة تعتمد على الاسم فقط دون التحقق من سجل الناشر.

ما هي الأرقام التي كشفت التلاعب بالتحميلات؟

الجهة المهاجمة رفعت عداد التنزيلات إلى أكثر من 180 ألف تحميل، وهو رقم مرتفع لحزمة جديدة. ووفقاً لمتابعة تيكبامين، تم توزيع التحميلات على 506 إصدارات بمتوسط يقارب 300 تحميل لكل إصدار، ما يشير إلى نمط مصطنع. توزيع التنزيلات بهذه الطريقة غالباً ما يُستخدم لرفع ترتيب الحزمة في نتائج البحث.

• إجمالي التنزيلات: أكثر من 180,000.
• عدد الإصدارات: 506 نسخة.
• المتوسط لكل إصدار: نحو 300 تنزيل.

لماذا هذا مهم؟

المظهر المرتفع لعدد التنزيلات يعزز الثقة ويؤثر على قرارات الفرق التقنية، خصوصاً عند البحث السريع داخل NuGet Gallery. كما أنه يقلل من احتمال التدقيق اليدوي في اسم الناشر أو تاريخ الإصدارات.

ما المخاطر على المطورين والقطاع المالي؟

الحزمة أعادت تنفيذ بعض وظائف Stripe الأصلية لكنها عدلت دوال حساسة لتمرير البيانات، لتقوم بـ سرقة رموز API وإرسالها للمهاجمين. الأخطر أن التطبيق يستمر في معالجة المدفوعات بشكل طبيعي، ما يجعل اكتشاف الاختراق صعباً. ذلك قد يسمح للمهاجمين بالوصول إلى بيانات المدفوعات أو إنشاء مفاتيح بديلة.

كيف يتم تسريب البيانات؟

• التقاط رمز Stripe API من الإعدادات أو المتغيرات البيئية.
• إرساله إلى خادم خارجي عبر طلبات مخفية.
• الإبقاء على بقية الوظائف سليمة لتجنب الشبهات.

كيف تم الاكتشاف وما الدروس العملية؟

تم رصد النشاط بسرعة وإبلاغ متجر الحزم لإزالة النسخة الخبيثة قبل حدوث أضرار واسعة، لكنه يكشف تحوّلاً من استهداف محافظ العملات الرقمية إلى أنظمة الدفع المؤسسية. هذا يسلط الضوء على مخاطر سلسلة التوريد البرمجية في مشاريع .NET. كما أبرزت الحادثة أهمية المراجعة في فرق الامتثال.

نصائح لتقليل المخاطر

• تحقق من اسم الحزمة والناشر بدقة قبل الدمج.
• راجع سجل الإصدارات والتحميلات بحثاً عن أنماط غير طبيعية.
• قم بتثبيت الإصدارات الموثوقة وتجنب التحديث التلقائي.
• راقب الاتصالات الخارجية أثناء البناء أو الاختبارات.
• استخدم أدوات فحص الاعتمادات لتقييم الحزم.

في النهاية، تذكّر أن حزمة StripeApi الخبيثة تبرز أهمية التحقق الدوري من الاعتمادات، خاصة في البيئات المالية التي تتعامل مع بيانات حساسة. اتباع ممارسات التدقيق المستمر يقلل من فرص الاختراق ويمنح فرق التطوير رؤية أوضح للمخاطر.