Güvenlik Uyarısı: 7 Kötü Amaçlı npm Paketi Kripto Kullanıcılarını Adspect Gizleme Hizmeti Üzerinden Hedef Alıyor

Kaynak: CryptoNewsNet Orijinal Başlık: Siber güvenlik araştırmacıları, kripto kullanıcılarını hedef alan tek bir tehdit aktörü tarafından yayımlanan 7 npm paketini ortaya çıkardı Orijinal Bağlantı: Siber güvenlik araştırmacıları, tek bir tehdit aktörü tarafından yayımlanan yedi npm paketini ortaya çıkardılar. Bu paketler, gerçek kurbanlar ile güvenlik araştırmacılarını ayırt etmek için Adspect adlı bir gizleme hizmeti kullanıyor ve nihayetinde onları şüpheli, kripto temalı sitelere yönlendiriyor.

Kötü niyetli npm paketleri, “dino_reborn” adında bir tehdit aktörü tarafından Eylül ve Kasım 2025 arasında yayımlandı. Paketler arasında signals-embed (342 indirme), dsidospsodlks (184 indirme), applicationooks21 (340 indirme), application-phskck (199 indirme), integrator-filescrypt2025 (199 indirme), integrator-2829 (276 indirme), ve integrator-2830 (290 indirme).

Adspect, reklam kampanyalarını koruyan bulut tabanlı bir hizmet olarak kendini tanıtmaktadır.

Web sitesine göre, Adspect, reklam kampanyalarını istenmeyen trafiğe, tıklama dolandırıcılığına ve antivirüs şirketlerinden gelen botlara karşı korumak için tasarlanmış bulut tabanlı bir hizmet sunmaktadır. Ayrıca, “kurşun geçirmez gizleme” sağladığını ve “her bir reklam platformunu güvenilir bir şekilde gizlediğini” iddia etmektedir.

Üç plan sunmaktadır: Ant-Fraud, Kişisel ve Profesyonel, bunların maliyetleri sırasıyla 299$, 499$ ve $999 aylık. Şirket ayrıca kullanıcıların “istediğiniz her şeyi” reklamını verebileceğini iddia ediyor ve hiçbir soru sormadan politika izlediklerini ekliyor: “ne yaptığınızla ilgilenmiyoruz ve hiçbir içerik kuralı uygulamıyoruz.”

Socket güvenlik araştırmacısı Olivia Brown, “Bir paket tarafından oluşturulan sahte bir web sitesini ziyaret ettiğimde, tehdit aktörü ziyaretçinin bir kurban mı yoksa bir güvenlik araştırmacısı mı olduğunu belirliyor. Eğer ziyaretçi bir kurban ise, sahte bir CAPTCHA görüyor ve sonunda onları kötü niyetli bir siteye yönlendiriyor. Eğer bir güvenlik araştırmacısıysa, sahte web sitesindeki birkaç ipucu onlara kötü bir şeylerin olabileceğini haber verecek.”

AdSpect'in web tarayıcısında araştırmacıların eylemlerini engelleme yeteneği

Bu paketlerden altısında, kendini gizleyen ve sistemin parmak izinin bir kopyasını oluşturan 39kB boyutunda bir zararlı yazılım bulunmaktadır. Ayrıca, geliştirici eylemlerini bir web tarayıcısında engelleyerek analizden kaçınmaya çalışmakta, bu da araştırmacıların kaynak kodunu görüntülemesini veya geliştirici araçlarını başlatmasını engellemektedir.

Paketler, “Hemen Çağrılan Fonksiyon İfadesi (IIFE)” olarak adlandırılan bir JavaScript özelliğinden faydalanır. Bu, kötü niyetli kodun web tarayıcısında yüklendiği anda hemen çalıştırılmasına olanak tanır.

Ancak, “signals-embed” doğrudan herhangi bir kötü niyetli işlevselliğe sahip değildir ve bir sahte beyaz sayfa oluşturmak üzere tasarlanmıştır. Yakalanan bilgiler daha sonra bir proxy'e gönderilir; bu, trafiğin kaynağının bir kurban mı yoksa bir araştırmacı mı olduğunu belirlemek için yapılır ve ardından sahte bir CAPTCHA sunulur.

Kurban CAPTCHA onay kutusuna tıkladıktan sonra, dijital varlıkları çalmayı hedefleyen, hizmetleri taklit eden sahte bir kripto ile ilgili sayfaya yönlendirilir. Ancak, ziyaretçiler potansiyel araştırmacı olarak işaretlenirse, kullanıcılara beyaz bir sahte sayfa gösterilir. Ayrıca, sahte bir şirkete ait gizlilik politikasıyla ilgili HTML kodunu da içerir.

Bu rapor, Amazon Web Services raporu ile örtüşmektedir. Amazon Inspector ekibinin, NPM kayıt defterinde, Nisan 2024'te tespit edilen ilk dalgadan kaynaklanan, koordineli bir token farming kampanyasıyla bağlantılı 150.000'den fazla paketi tanımlayıp raporladığını belirtti.

“Bu, açık kaynak kayıt defteri tarihindeki en büyük paket taşkınlarından biridir ve tedarik zinciri güvenliği açısından belirleyici bir anı temsil etmektedir,” araştırmacılar ifade etti. “Tehdit aktörleri, kullanıcı farkındalığı olmadan kripto para ödülleri kazanmak için paketleri otomatik olarak oluşturup yayınlıyor, kampanyanın ilk tanımlanmasından bu yana nasıl üstel olarak genişlediğini ortaya koyuyor.”