フェイクのBraintreeパッケージ、検出回避のため本番環境でのみクレジットカード情報を窃取

高度に巧妙化したマルウェアキャンペーンが、NuGetエコシステム内に潜んでいるのが最近発見されました。標的となっているのは、人気の決済ゲートウェイBraintreeを利用する開発者たちです。

Socketのセキュリティ研究者らは、「Braintree.Net」という名称の悪意あるパッケージを検出しました。これはPayPalが公式に管理するBraintree .NETライブラリになりすましたものです。

2026年7月上旬に初めて公開されたこの偽装パッケージは、巧妙な名称のバリエーションと偽のダウンロード数を使い、開発者を騙してインストールさせようとします。

いったんプロジェクトに組み込まれると、このパッケージは実際の決済カードデータを密かに傍受し、機密性の高いシステムのシークレット情報を盗み出します。

正規のパッケージ名は「Braintree」です。攻撃者は「Braintree.Net」という名称を作成し、名前を少し打ち間違えたり、誤ったインストールコマンドをコピーしたりする被害者を狙っています。

このワナを本物らしく見せるため、作成者はダウンロード統計を水増ししました。1日で100以上の空の代替バージョンを公開し、合計ダウンロード数を人為的に1,400万件まで押し上げたのです。

実際には、本物の悪意あるバージョンのインストール実績は数百件程度にすぎません。このパッケージはreadmeファイルにも正規のBraintreeのドキュメントをそのままコピーしており、偽装をさらに完璧なものにしています。

この悪意あるパッケージが特に危険なのは、通常のテスト時にうまく紛れ込み、検出を回避できる点です。

このマルウェアには組み込みのチェック機能があり、アプリケーションが実際の本番環境で稼働している場合にのみ、最も有害な機能を発動させる仕組みになっています。

開発者がサンドボックスや開発環境で統合をテストしている場合、データ窃取用のコードは完全に休眠状態のままです。これにより、この統合は警告フラグを立てることなく、標準的な品質保証テストを通過してしまいます。

本番環境に展開されると、このパッケージは情報を窃取するために3つの異なる経路を発動させます。まず、アプリケーションのメモリから直接、決済カードの詳細情報を傍受します。

隠されたロガーが、決済リクエストが実際のBraintreeサーバーに送信される前に、カード番号全体、セキュリティコード、有効期限を捕捉します。

次に、加盟店の非公開APIキーが、コード内で設定された瞬間に盗み出されます。最後に、このマルウェアは「DependencyInjector.Core」という付随の依存パッケージを利用し、環境変数や設定ファイルを収集します。

盗み出されたすべての情報はまとめられ、攻撃者が管理する偽ドメイン上でホストされたリモートサーバーへ送信されます。

アプリケーションがクラッシュして開発者に気づかれることを防ぐため、このマルウェアはすべてのデータ窃取処理を空のエラーハンドリングブロックで包み込んでいます。

たとえ攻撃者のサーバーへのネットワーク接続に失敗しても、ホストアプリケーションは何事もなかったかのように決済処理を続行すると、Socketは述べています

注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化(例: [.])されています。再有効化はMISP、VirusTotal、またはSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

翻訳元: https://cyberpress.org/production-only-braintree-card-skimmer/

ソース: cyberpress.org