Alerta de Segurança: 7 Pacotes npm Maliciosos Visam Utilizadores de Cripto Através do Serviço de Camuflagem Adspect

Fonte: CryptoNewsNet Título Original: Pesquisadores de cibersegurança revelam 7 pacotes npm publicados por um único ator de ameaça visando usuários de criptomoedas Link Original: Pesquisadores em cibersegurança revelaram um conjunto de sete pacotes npm publicados por um único ator de ameaça. Esses pacotes utilizam um serviço de camuflagem chamado Adspect para distinguir entre vítimas reais e pesquisadores de segurança, redirecionando-os, em última análise, para sites suspeitos com temática de criptomoedas.

Os pacotes npm maliciosos foram publicados por um ator de ameaça chamado “dino_reborn” entre setembro e novembro de 2025. Os pacotes incluem signals-embed (342 downloads), dsidospsodlks (184 downloads), applicationooks21 (340 downloads), application-phskck (199 downloads), integrator-filescrypt2025 (199 downloads), integrator-2829 (276 downloads), e integrator-2830 (290 downloads).

Adspect apresenta-se como um serviço baseado na nuvem que protege campanhas publicitárias

De acordo com o seu website, a Adspect anuncia um serviço baseado na nuvem destinado a proteger campanhas publicitárias de tráfego indesejado, incluindo fraudes de cliques e bots de empresas de antivírus. Também afirma oferecer “cloaking à prova de balas” e que “mascara de forma confiável cada uma das plataformas publicitárias.”

Oferece três planos: Antifraude, Pessoal e Profissional, que custam $299, $499 e $999 por mês. A empresa também afirma que os utilizadores podem anunciar “qualquer coisa que desejem”, acrescentando que segue uma política de não fazer perguntas: “não nos importamos com o que você veicula e não impomos quaisquer regras de conteúdo.”

A pesquisadora de segurança de socket, Olivia Brown, afirmou: “Ao visitar um site falso construído por um dos pacotes, o ator da ameaça determina se o visitante é uma vítima ou um pesquisador de segurança. Se o visitante for uma vítima, ele verá um CAPTCHA falso, levando-o eventualmente a um site malicioso. Se forem pesquisadores de segurança, apenas alguns indícios no site falso os alertariam que algo nefasto pode estar ocorrendo.”

A capacidade do AdSpect de bloquear as ações dos investigadores no seu navegador web

Dentre esses pacotes, seis contêm um malware de 39kB que se oculta e copia a impressão digital do sistema. Ele também tenta evitar a análise bloqueando ações de desenvolvedor em um navegador da web, o que impede os pesquisadores de visualizar o código-fonte ou lançar ferramentas de desenvolvedor.

Os pacotes aproveitam uma funcionalidade do JavaScript chamada “Immediately Invoked Function Expression (IIFE).” Isso permite que o código malicioso seja executado imediatamente ao ser carregado no navegador da web.

No entanto, “signals-embed” não possui nenhuma funcionalidade maliciosa por si só e é projetado para construir uma página branca de engano. As informações capturadas são então enviadas para um proxy para determinar se a fonte do tráfego é de uma vítima ou de um pesquisador, e em seguida serve um CAPTCHA falso.

Depois que a vítima clica na caixa de verificação CAPTCHA, ela é redirecionada para uma página falsa relacionada a criptomoedas que imita serviços, com o provável objetivo de roubar ativos digitais. Mas se os visitantes forem sinalizados como potenciais pesquisadores, uma página falsa branca é exibida para os usuários. Ela também apresenta código HTML relacionado à exibição da política de privacidade associada a uma empresa falsa.

Este relatório coincide com um relatório da Amazon Web Services. Ele afirmou que a sua equipe do Amazon Inspector identificou e reportou mais de 150.000 pacotes ligados a uma campanha coordenada de mineração de tokens no registro npm, que tem suas origens em uma onda inicial detectada em abril de 2024.

“Este é um dos maiores incidentes de inundação de pacotes na história dos registos de código aberto, e representa um momento definidor na segurança da cadeia de abastecimento,” afirmaram os investigadores. “Os agentes de ameaça geram e publicam automaticamente pacotes para ganhar recompensas em criptomoeda sem o conhecimento dos utilizadores, revelando como a campanha se expandiu exponencialmente desde a sua identificação inicial.”