Alerte de sécurité : 7 paquets npm malveillants ciblent les utilisateurs de Crypto via le service de dissimulation Adspect

Source : CryptoNewsNet Titre original : Des chercheurs en cybersécurité révèlent 7 packages npm publiés par un seul acteur malveillant ciblant les utilisateurs de crypto Lien original: Des chercheurs en cybersécurité ont révélé un ensemble de sept packages npm publiés par un seul acteur malveillant. Ces packages utilisent un service de dissimulation appelé Adspect pour distinguer entre de vraies victimes et des chercheurs en sécurité, les redirigeant finalement vers des sites douteux liés aux cryptomonnaies.

Les paquets npm malveillants ont été publiés par un acteur malveillant nommé “dino_reborn” entre septembre et novembre 2025. Les paquets incluent signals-embed (342 téléchargements), dsidospsodlks (184 téléchargements), applicationooks21 (340 téléchargements), application-phskck (199 téléchargements), integrator-filescrypt2025 (199 téléchargements), integrator-2829 (276 téléchargements), et integrator-2830 (290 téléchargements).

Adspect se présente comme un service basé sur le cloud qui protège les campagnes publicitaires

Selon son site Web, Adspect propose un service basé sur le cloud conçu pour protéger les campagnes publicitaires contre le trafic indésirable, y compris la fraude au clic et les bots des entreprises antivirus. Il affirme également offrir un “camouflage à toute épreuve” et que “chaque plateforme publicitaire est camouflée de manière fiable.”

Il propose trois plans : Ant-Fraud, Personnel et Professionnel, qui coûtent 299 $, 499 $ et $999 par mois. L'entreprise affirme également que les utilisateurs peuvent faire de la publicité pour “tout ce que vous voulez”, ajoutant qu'elle suit une politique de non-interrogation : “nous ne nous soucions pas de ce que vous diffusez et nous n'imposons aucune règle de contenu.”

La chercheuse en sécurité des sockets, Olivia Brown, a déclaré : “En visitant un faux site Web construit par l'un des paquets, l'acteur malveillant détermine si le visiteur est une victime ou un chercheur en sécurité. Si le visiteur est une victime, il voit un faux CAPTCHA, les amenant finalement à un site malveillant. S'il s'agit d'un chercheur en sécurité, seuls quelques indices sur le faux site Web pourraient les alerter sur le fait que quelque chose de néfaste pourrait se produire.”

La capacité d'AdSpect à bloquer les actions des chercheurs dans son navigateur web

Parmi ces paquets, six contiennent un logiciel malveillant de 39kB qui se cache et crée une copie de l'empreinte du système. Il tente également d'échapper à l'analyse en bloquant les actions des développeurs dans un navigateur web, ce qui empêche les chercheurs de visualiser le code source ou de lancer les outils de développement.

Les paquets tirent parti d'une fonctionnalité JavaScript appelée “Expression de fonction immédiatement invoquée (IIFE).” Cela permet au code malveillant d'être exécuté immédiatement lors de son chargement dans le navigateur web.

Cependant, “signals-embed” n'a pas de fonctionnalité malveillante à proprement parler et est conçu pour construire une page blanche leurre. Les informations capturées sont ensuite envoyées à un proxy pour déterminer si la source du trafic provient d'une victime ou d'un chercheur, puis un faux CAPTCHA est servi.

Après que la victime ait cliqué sur la case CAPTCHA, elle est redirigée vers une page crypto-frauduleuse qui imite des services, avec probablement pour objectif de voler des actifs numériques. Mais si les visiteurs sont signalés comme de potentiels chercheurs, une fausse page blanche est affichée aux utilisateurs. Elle contient également du code HTML lié à l'affichage de la politique de confidentialité associée à une fausse entreprise.

Ce rapport coïncide avec un rapport d'Amazon Web Services. Il a déclaré que son équipe Amazon Inspector a identifié et signalé plus de 150 000 paquets liés à une campagne de farming de tokens coordonnée dans le registre npm, qui trouve ses origines dans une première vague détectée en avril 2024.

“C'est l'un des plus grands incidents d'inondation de paquets dans l'histoire des registres open source et représente un moment décisif en matière de sécurité de la chaîne d'approvisionnement,” ont déclaré les chercheurs. “Les acteurs malveillants génèrent et publient automatiquement des paquets pour gagner des récompenses en cryptomonnaie sans que les utilisateurs en soient conscients, révélant comment la campagne s'est étendue de manière exponentielle depuis son identification initiale.”