Alerta de Seguridad: 7 Paquetes npm Maliciosos Apuntan a Usuarios de Cripto a Través del Servicio de Cloaking Adspect

Fuente: CryptoNewsNet Título original: Investigadores en ciberseguridad revelan 7 paquetes npm publicados por un único actor de amenazas que apunta a usuarios de criptomonedas Enlace original: Los investigadores en ciberseguridad han revelado un conjunto de siete paquetes npm publicados por un único actor de amenazas. Estos paquetes utilizan un servicio de ocultación llamado Adspect para distinguir entre víctimas reales e investigadores de seguridad, redirigiéndolos en última instancia a sitios poco confiables relacionados con criptomonedas.

Los paquetes maliciosos de npm fueron publicados por un actor de amenaza llamado “dino_reborn” entre septiembre y noviembre de 2025. Los paquetes incluyen signals-embed (342 descargas), dsidospsodlks (184 descargas), applicationooks21 (340 descargas), application-phskck (199 descargas), integrator-filescrypt2025 (199 descargas), integrator-2829 (276 descargas), y integrator-2830 (290 descargas).

Adspect se presenta como un servicio basado en la nube que protege las campañas publicitarias

Según su sitio web, Adspect anuncia un servicio basado en la nube diseñado para proteger las campañas publicitarias de tráfico no deseado, incluyendo fraude en clics y bots de compañías antivirus. También afirma ofrecer “encubrimiento a prueba de balas” y que “encubre de manera confiable cada una de las plataformas publicitarias.”

Ofrece tres planes: Antifraude, Personal y Profesional, que cuestan $299, $499 y $999 por mes. La empresa también afirma que los usuarios pueden anunciar “lo que quieran”, añadiendo que sigue una política de sin preguntas: “no nos importa lo que publiques y no imponemos ninguna regla de contenido.”

La investigadora de seguridad de sockets, Olivia Brown, declaró: “Al visitar un sitio web falso construido por uno de los paquetes, el actor de la amenaza determina si el visitante es una víctima o un investigador de seguridad. Si el visitante es una víctima, ve un CAPTCHA falso, llevándolos eventualmente a un sitio malicioso. Si son investigadores de seguridad, solo unas pocas pistas en el sitio web falso les indicarían que algo nefasto podría estar ocurriendo.”

La capacidad de AdSpect para bloquear las acciones de los investigadores en su navegador web

De estos paquetes, seis contienen un malware de 39 kB que se oculta y hace una copia de la huella digital del sistema. También intenta evadir el análisis bloqueando las acciones del desarrollador en un navegador web, lo que impide a los investigadores ver el código fuente o lanzar herramientas de desarrollo.

Los paquetes aprovechan una característica de JavaScript llamada “Expresión de Función Invocada Inmediatamente (IIFE).” Permite que el código malicioso se ejecute inmediatamente al cargarlo en el navegador web.

Sin embargo, “signals-embed” no tiene ninguna funcionalidad maliciosa en sí misma y está diseñado para construir una página blanca de distracción. La información capturada se envía a un proxy para determinar si la fuente del tráfico proviene de una víctima o de un investigador, y luego sirve un CAPTCHA falso.

Después de que la víctima haga clic en la casilla de verificación CAPTCHA, se les redirige a una página falsa relacionada con criptomonedas que imita servicios, con el probable objetivo de robar activos digitales. Pero si los visitantes son marcados como posibles investigadores, se muestra a los usuarios una página blanca falsa. También presenta código HTML relacionado con la política de privacidad de visualización asociada con una empresa falsa.

Este informe coincide con un informe de Amazon Web Services. Indica que su equipo de Amazon Inspector identificó e informó más de 150,000 paquetes vinculados a una campaña coordinada de cultivo de tokens en el registro de npm que tiene sus orígenes en una ola inicial que fue detectada en abril de 2024.

“Este es uno de los mayores incidentes de inundación de paquetes en la historia de los registros de código abierto, y representa un momento definitorio en la seguridad de la cadena de suministro,” afirmaron los investigadores. “Los actores de amenazas generan y publican automáticamente paquetes para ganar recompensas en criptomonedas sin que los usuarios lo sepan, revelando cómo la campaña se ha expandido exponencialmente desde su identificación inicial.”