Peringatan Keamanan: 7 Paket npm Jahat Menargetkan Pengguna Kripto melalui Layanan Penyamaran Adspect

Sumber: CryptoNewsNet Judul Asli: Peneliti keamanan siber mengungkap 7 paket npm yang diterbitkan oleh satu aktor ancaman yang menargetkan pengguna kripto Link Asli: Peneliti keamanan siber telah mengungkap serangkaian tujuh paket npm yang diterbitkan oleh satu aktor ancaman. Paket-paket ini menggunakan layanan penyamaran bernama Adspect untuk membedakan antara korban nyata dan peneliti keamanan, yang pada akhirnya mengarahkan mereka ke situs-situs bertema kripto yang mencurigakan.

Paket npm berbahaya diterbitkan oleh aktor ancaman bernama “dino_reborn” antara September dan November 2025. Paket-paket tersebut termasuk signals-embed (342 unduhan), dsidospsodlks (184 unduhan), applicationooks21 (340 unduhan), application-phskck (199 unduhan), integrator-filescrypt2025 (199 unduhan), integrator-2829 (276 unduhan), dan integrator-2830 (290 unduhan).

Adspect berpura-pura sebagai layanan berbasis cloud yang melindungi kampanye iklan

Menurut situs webnya, Adspect mengiklankan layanan berbasis cloud yang dirancang untuk melindungi kampanye iklan dari lalu lintas yang tidak diinginkan, termasuk penipuan klik dan bot dari perusahaan antivirus. Mereka juga mengklaim menawarkan “penyamaran yang tahan peluru” dan bahwa mereka “dengan andal menyamarkan setiap platform iklan.”

Ini menawarkan tiga paket: Ant-Fraud, Personal, dan Profesional, yang masing-masing biaya $299, $499, dan $999 per bulan. Perusahaan juga mengklaim pengguna dapat mengiklankan “apa pun yang Anda inginkan,” menambahkan bahwa mereka mengikuti kebijakan tanpa pertanyaan: “kami tidak peduli apa yang Anda jalankan dan tidak memberlakukan aturan konten apapun.”

Peneliti keamanan Socket, Olivia Brown, menyatakan, “Setelah mengunjungi situs web palsu yang dibuat oleh salah satu paket, pelaku ancaman menentukan apakah pengunjung adalah korban atau peneliti keamanan. Jika pengunjung adalah korban, mereka akan melihat CAPTCHA palsu, yang pada akhirnya membawa mereka ke situs yang jahat. Jika mereka adalah peneliti keamanan, hanya beberapa petunjuk di situs web palsu yang akan memberi tahu mereka bahwa sesuatu yang jahat mungkin sedang terjadi.”

Kemampuan AdSpect untuk memblokir tindakan peneliti di browser webnya

Dari paket-paket ini, enam memiliki malware berukuran 39kB yang menyembunyikan dirinya dan membuat salinan sidik jari sistem. Malware ini juga mencoba menghindari analisis dengan memblokir tindakan pengembang di peramban web, yang mencegah peneliti melihat kode sumber atau meluncurkan alat pengembang.

Paket-paket memanfaatkan fitur JavaScript yang disebut “Immediately Invoked Function Expression (IIFE).” Ini memungkinkan kode berbahaya dieksekusi segera setelah dimuat di browser web.

Namun, “signals-embed” tidak memiliki fungsionalitas jahat secara langsung dan dirancang untuk membangun halaman putih tiruan. Informasi yang ditangkap kemudian dikirim ke proxy untuk menentukan apakah sumber lalu lintas berasal dari korban atau peneliti, dan kemudian menyajikan CAPTCHA palsu.

Setelah korban mengklik kotak centang CAPTCHA, mereka diarahkan ke halaman palsu yang terkait dengan crypto yang menyamar sebagai layanan, dengan tujuan kemungkinan untuk mencuri aset digital. Namun, jika pengunjung ditandai sebagai peneliti potensial, halaman palsu berwarna putih ditampilkan kepada pengguna. Halaman tersebut juga menampilkan kode HTML terkait dengan kebijakan privasi yang ditampilkan yang terkait dengan perusahaan palsu.

Laporan ini bertepatan dengan laporan Amazon Web Services. Laporan tersebut menyatakan bahwa tim Amazon Inspector telah mengidentifikasi dan melaporkan lebih dari 150.000 paket yang terkait dengan kampanye pertanian token terkoordinasi di registri npm yang berasal dari gelombang awal yang terdeteksi pada bulan April 2024.

“Ini adalah salah satu insiden banjir paket terbesar dalam sejarah registri sumber terbuka, dan merupakan momen yang menentukan dalam keamanan rantai pasokan,” kata para peneliti. “Aktornya secara otomatis menghasilkan dan menerbitkan paket untuk mendapatkan imbalan cryptocurrency tanpa sepengetahuan pengguna, mengungkapkan bagaimana kampanye ini telah berkembang secara eksponensial sejak identifikasi awalnya.”