Попередження про безпеку: 7 шкідливих npm пакетів націлені на користувачів Крипто через сервіс приховування Adspect

Джерело: CryptoNewsNet Оригінальна назва: Дослідники з кібербезпеки виявили 7 пакетів npm, опублікованих одним загрозливим актором, що націлюється на користувачів криптовалюти Оригінальне посилання: Дослідники з кібербезпеки виявили набір з семи npm-пакетів, опублікованих одним зловмисником. Ці пакети використовують сервіс маскування під назвою Adspect, щоб розрізняти справжніх жертв та дослідників безпеки, зрештою перенаправляючи їх на підозрілі сайти з криптовалютою.

Зловмисні пакети npm були опубліковані загрозливим актором на ім'я “dino_reborn” між вереснем та листопадом 2025 року. Пакети включають signals-embed (342 завантажень), dsidospsodlks (184 завантажень), applicationooks21 (340 завантажень), application-phskck (199 завантажень), integrator-filescrypt2025 (199 завантажень), integrator-2829 (276 завантажень), та integrator-2830 (290 завантажень).

Adspect є хмарним сервісом, який захищає рекламні кампанії

Згідно з його веб-сайтом, Adspect рекламує хмарний сервіс, призначений для захисту рекламних кампаній від небажаного трафіку, включаючи шахрайство з кліками та ботів від антивірусних компаній. Він також стверджує, що пропонує “безпечне маскування” та що “надійно маскує кожну рекламну платформу.”

!

Він пропонує три плани: Анти-шахрайство, Персональний та Професійний, які коштують $299, $499 та $999 на місяць. Компанія також стверджує, що користувачі можуть рекламувати “все, що хочуть”, додаючи, що вона дотримується політики без запитань: “нам не цікаво, що ви запускаєте, і ми не накладаємо жодних правил щодо контенту.”

Дослідник безпеки Socket Олівія Браун заявила: “Під час відвідування фальшивого веб-сайту, створеного одним із пакетів, зловмисник визначає, чи є відвідувач жертвою, чи дослідником безпеки. Якщо відвідувач є жертвою, він бачить фальшивий CAPTCHA, що зрештою приводить його на шкідливий сайт. Якщо це дослідник безпеки, лише кілька підказок на фальшивому веб-сайті можуть натякнути їм на те, що може відбуватися щось злочинне.”

Здатність AdSpect блокувати дії дослідників у своєму веб-браузері

Серед цих пакетів шість містять 39kB шкідливе ПЗ, яке ховається та створює копію відбитка системи. Воно також намагається уникнути аналізу, блокуючи дії розробників у веб-браузері, що перешкоджає дослідникам переглядати вихідний код або запускати інструменти розробника.

Пакети використовують функцію JavaScript, звану “Негайно викликана функціональна вираз (IIFE).” Це дозволяє зловмисному коду виконуватись одразу після його завантаження у веб-браузері.

Однак “signals-embed” не має жодної явно шкідливої функціональності і призначений для створення обманного білого екрану. Захоплена інформація потім надсилається на проксі-сервер, щоб визначити, чи є джерело трафіку жертвою чи дослідником, а потім надається підроблений CAPTCHA.

Після того, як жертва натискає на чекбокс CAPTCHA, її перенаправляють на підроблену криптовалютну сторінку, яка імітує послуги, з ймовірною метою викрадення цифрових активів. Але якщо відвідувачів позначено як потенційних дослідників, користувачам відображається біла підроблена сторінка. Вона також містить HTML-код, пов'язаний з відображенням політики конфіденційності, що стосується фіктивної компанії.

Цей звіт збігається зі звітом Amazon Web Services. У ньому зазначено, що команда Amazon Inspector виявила та повідомила про понад 150 000 пакетів, пов'язаних з координованою кампанією з фермерства токенів у реєстрі npm, яка має свої корені в початковій хвилі, що була виявлена в квітні 2024 року.

“Це один з найбільших інцидентів з затоплення пакетів в історії відкритих реєстрів, і він представляє собою визначний момент у безпеці постачальних ланцюгів,” зазначили дослідники. “Зловмисники автоматично генерують та публікують пакети, щоб заробити винагороди у криптовалюті без відома користувачів, що демонструє, як кампанія експоненційно розширилася з моменту свого первісного виявлення.”