Сигнализация безопасности: 7 вредоносных пакетов npm нацелены на пользователей Крипто через сервис маскировки Adspect

Источник: CryptoNewsNet Оригинальное название: Исследователи в области кибербезопасности раскрывают 7 пакетов npm, опубликованных одним злоумышленником, нацелившимся на пользователей криптовалюты Оригинальная ссылка: Исследователи в области кибербезопасности раскрыли набор из семи пакетов npm, опубликованных одним и тем же злоумышленником. Эти пакеты используют сервис сокрытия под названием Adspect, чтобы различать настоящих жертв и исследователей безопасности, в конечном итоге перенаправляя их на сомнительные сайты, связанные с криптовалютой.

Зловредные пакеты npm были опубликованы злоумышленником по имени “dino_reborn” в период с сентября по ноябрь 2025 года. Пакеты включают signals-embed (342 загрузок ), dsidospsodlks (184 загрузок ), applicationooks21 (340 загрузок ), application-phskck (199 загрузок ), integrator-filescrypt2025 (199 загрузок ), integrator-2829 (276 загрузок ) и integrator-2830 (290 загрузок ).

Adspect представляет собой облачный сервис, который защищает рекламные кампании

Согласно его веб-сайту, Adspect рекламирует облачный сервис, предназначенный для защиты рекламных кампаний от нежелательного трафика, включая мошенничество с кликами и ботов от антивирусных компаний. Он также утверждает, что предлагает “непробиваемое сокрытие” и что он “надежно скрывает каждую рекламную платформу.”

!

Он предлагает три плана: Ant-Fraud, Personal и Professional, стоимостью $299, $499 и $999 в месяц. Компания также утверждает, что пользователи могут рекламировать “всё, что хотите”, добавляя, что она придерживается политики без вопросов: “нам не важно, что вы запускаете, и мы не налагаем никаких правил контента.”

Исследователь по безопасности Socket Оливия Браун заявила: “При посещении поддельного веб-сайта, созданного одним из пакетов, злоумышленник определяет, является ли посетитель жертвой или исследователем безопасности. Если посетитель является жертвой, он видит поддельный CAPTCHA, в конечном итоге попадая на вредоносный сайт. Если это исследователь безопасности, только несколько признаков на поддельном веб-сайте могут подсказать им, что может происходить что-то злонамеренное.”

Способность AdSpect блокировать действия исследователей в своем веб-браузере

Из этих пакетов шесть содержат вредоносное ПО размером 39 кБ, которое скрывает себя и создает копию отпечатка системы. Оно также пытается избежать анализа, блокируя действия разработчиков в веб-браузере, что мешает исследователям просматривать исходный код или запускать инструменты разработчика.

Пакеты используют функцию JavaScript, называемую “Немедленно вызываемое функциональное выражение (IIFE).” Это позволяет злоумышленному коду выполняться сразу после его загрузки в веб-браузере.

Однако “signals-embed” не имеет каких-либо злонамеренных функций и предназначен для создания обманчивой белой страницы. Захваченная информация затем отправляется на прокси-сервер для определения, является ли источник трафика жертвой или исследователем, а затем подается поддельный CAPTCHA.

После того как жертва нажимает на чекбокс CAPTCHA, она перенаправляется на фальшивую страницу, связанную с криптовалютами, которая выдает себя за сервисы, с вероятной целью кражи цифровых активов. Но если посетители отмечены как потенциальные исследователи, пользователям отображается белая фальшивая страница. Она также содержит HTML-код, связанный с отображением политики конфиденциальности, относящейся к фиктивной компании.

Этот отчет совпадает с отчетом Amazon Web Services. В нем говорится, что команда Amazon Inspector выявила и сообщила более чем о 150 000 пакетах, связанных с координированной кампанией по токенному фармингу в реестре npm, которая имеет свое происхождение в первоначальной волне, обнаруженной в апреле 2024 года.

“Это один из крупнейших инцидентов с затоплением пакетов в истории открытых реестров, и он представляет собой определяющий момент в безопасности цепочки поставок,” заявили исследователи. “Угрожающие участники автоматически генерируют и публикуют пакеты, чтобы зарабатывать криптовалютные вознаграждения без ведома пользователей, что показывает, как кампания экспоненциально расширилась с момента ее первоначального выявления.”