Вредоносный NuGet-пакет Braintree.Net крадет карты и ключи
Вредоносный пакет Braintree.Net атакует цепочку поставок .NET
В начале июля 2026 года исследователи выявили новую угрозу в экосистеме NuGet — пакет Braintree.Net, маскирующийся под легитимный клиентский SDK для платёжного шлюза Braintree. Практически сразу после публикации 3 июля стало очевидно: перед нами не безобидная библиотека, а многоэтапный .NET-имплант, нацеленный на перехват данных кредитных карт, эксфильтрацию API-ключей продавцов Braintree и сбор секретов окружения. Злоумышленники встроили вредоносную логику глубоко в процесс загрузки сборки, имитируя привычное поведение SDK и сводя к минимуму подозрения разработчиков.
Искусная маскировка под легитимный продукт
Вредоносный пакет полностью копирует нейминг и структуру официального Braintree SDK, что легко вводит в заблуждение при добавлении зависимости. Авторы использовали следующие приёмы социальной инженерии:
- Обманное название и версионирование, неотличимые от настоящего пакета.
- Фиктивное завышение числа загрузок — публиковались многочисленные пустые версии, искусственно раздувающие счётчик, чтобы создать видимость популярности и надёжности.
- Сохранение привычного фасада API: вредоносный код активируется только в момент совершения платёжных операций, не влияя на штатную работу приложения.
Механизм кражи платёжных данных и учётных записей продавцов
Ключевым звеном атаки стал специально созданный класс Braintree.CardOperationLogger, отсутствующий в оригинальной сборке. Он стратегически размещён так, чтобы перехватывать все детали карточных транзакций непосредственно перед выполнением легитимных платёжных действий. Параллельно реализован ещё один вектор: установка свойства BraintreeGateway.PrivateKey инициирует скрытую кражу учётных данных продавца без какой-либо индикации для пользователя. Все собранные сведения — номера карт, ключи доступа — немедленно направляются на контролируемый злоумышленниками сервер.
Расширенный сбор секретов окружения
Пакет не ограничивается только платёжной информацией. Он внедряет зависимость DependencyInjector.Core, модуль, который сканирует среду выполнения на предмет конфиденциальных данных. Под прицелом оказываются метаданные облачных сервисов и токены Kubernetes. Таким образом, даже тестовые и разработочные окружения, подключившие скомпрометированный пакет, рискуют раскрыть критически важную инфраструктурную информацию, которая затем может быть использована для горизонтального перемещения или дальнейших атак на производственные системы.
Сетевая инфраструктура и скрытая C2-коммуникация
Связь с управляющим сервером (C2) тщательно замаскирована. Адрес точки управления закодирован с помощью XOR-кодирования, что затрудняет его обнаружение при статическом анализе кода и поверхностном мониторинге трафика. Такой подход демонстрирует возросший уровень операционной безопасности атакующих и указывает на финансово мотивированную кампанию, целиком ориентированную на сбор данных, подпадающих под действие стандарта PCI.
Как защититься: немедленные шаги и долгосрочные меры
Инцидент с Braintree.Net в очередной раз подтверждает критическую важность контроля зависимостей и бдительности в отношении пакетов с открытым исходным кодом. Специалистам по безопасности и разработчикам рекомендуется безотлагательно выполнить следующие действия:
- Ротировать все учётные данные продавца Braintree, которые могли быть связаны с заражённой средой;
- Провести аудит кодовых баз и конфигураций CI/CD на наличие ссылок на вредоносный пакет и связанных зависимостей;
- Заблокировать исходящий сетевой трафик на идентифицированный C2-домен;
- Усилить мониторинг аномальной сетевой активности, особенно в части обращений к облачным метаданным и попыток эксфильтрации данных, соответствующих профилю PCI;
- Внедрить автоматизированные проверки целостности пакетов и сверку контрольных сумм перед включением любых зависимостей в проект.
Только комплексный подход, включающий осведомлённость разработчиков, строгую политику управления зависимостями и проактивный мониторинг, способен снизить риски подобных целевых атак на цепочки поставок.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



