Cảnh báo bảo mật: 7 gói npm độc hại nhắm đến người dùng Tiền điện tử thông qua dịch vụ che giấu Adspect

Nguồn: CryptoNewsNet Tiêu đề gốc: Các nhà nghiên cứu an ninh mạng tiết lộ 7 gói npm được xuất bản bởi một tác nhân đe dọa đơn lẻ nhắm vào người dùng tiền điện tử Liên kết gốc: Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ bảy gói npm được xuất bản bởi một tác nhân đe dọa duy nhất. Những gói này sử dụng một dịch vụ che giấu có tên Adspect để phân biệt giữa các nạn nhân thực sự và các nhà nghiên cứu an ninh, cuối cùng chuyển hướng họ đến các trang web có chủ đề tiền điện tử đáng ngờ.

Các gói npm độc hại đã được phát hành bởi một tác nhân đe dọa có tên “dino_reborn” từ tháng 9 đến tháng 11 năm 2025. Các gói bao gồm signals-embed (342 downloads), dsidospsodlks (184 downloads), applicationooks21 (340 downloads), application-phskck (199 downloads), integrator-filescrypt2025 (199 downloads), integrator-2829 (276 downloads), và integrator-2830 (290 downloads).

Adspect đóng vai trò như một dịch vụ dựa trên đám mây bảo vệ các chiến dịch quảng cáo

Theo trang web của mình, Adspect quảng cáo một dịch vụ dựa trên đám mây nhằm bảo vệ các chiến dịch quảng cáo khỏi lưu lượng không mong muốn, bao gồm gian lận nhấp chuột và bot từ các công ty antivirus. Nó cũng tuyên bố cung cấp “bảo vệ giấu kín không thể xuyên thủng” và rằng nó “giấu kín một cách đáng tin cậy từng nền tảng quảng cáo.”

Nó cung cấp ba gói: Ant-Fraud, Cá nhân và Chuyên nghiệp, có giá lần lượt là $299, $499 và $999 mỗi tháng. Công ty cũng khẳng định người dùng có thể quảng cáo “bất cứ điều gì bạn muốn,” thêm vào đó là chính sách không hỏi han: “chúng tôi không quan tâm bạn chạy gì và không áp dụng bất kỳ quy tắc nội dung nào.”

Nhà nghiên cứu an ninh mạng Olivia Brown cho biết, “Khi truy cập vào một trang web giả được xây dựng bởi một trong những gói, tác nhân đe dọa xác định xem người truy cập là nạn nhân hay nhà nghiên cứu an ninh. Nếu người truy cập là nạn nhân, họ sẽ thấy một CAPTCHA giả, cuối cùng dẫn họ đến một trang web độc hại. Nếu họ là nhà nghiên cứu an ninh, chỉ một vài dấu hiệu trên trang web giả sẽ khiến họ nghi ngờ rằng có điều gì đó xấu đang xảy ra.”

Khả năng của AdSpect để chặn các hành động của các nhà nghiên cứu trong trình duyệt web của nó

Trong số các gói này, sáu gói có một phần mềm độc hại 39kB ẩn mình và sao chép dấu vân tay của hệ thống. Nó cũng cố gắng né tránh phân tích bằng cách chặn các hành động của nhà phát triển trong trình duyệt web, điều này ngăn cản các nhà nghiên cứu xem mã nguồn hoặc khởi động các công cụ dành cho nhà phát triển.

Các gói tận dụng một tính năng của JavaScript gọi là “Immediately Invoked Function Expression (IIFE).” Nó cho phép mã độc được thực thi ngay lập tức khi được tải vào trình duyệt web.

Tuy nhiên, “signals-embed” không có bất kỳ chức năng độc hại nào và được thiết kế để tạo ra một trang trắng giả. Thông tin bị thu thập sau đó được gửi đến một proxy để xác định xem nguồn lưu lượng có phải từ một nạn nhân hay một nhà nghiên cứu, sau đó phục vụ một CAPTCHA giả.

Sau khi nạn nhân nhấp vào ô CAPTCHA, họ sẽ được chuyển hướng đến một trang giả mạo liên quan đến tiền điện tử, giả mạo các dịch vụ, với mục tiêu có khả năng là đánh cắp tài sản kỹ thuật số. Nhưng nếu những người truy cập bị đánh dấu là các nhà nghiên cứu tiềm năng, một trang giả trắng sẽ được hiển thị cho người dùng. Nó cũng có mã HTML liên quan đến việc hiển thị chính sách bảo mật liên quan đến một công ty giả.

Báo cáo này trùng khớp với một báo cáo của Amazon Web Services. Nó cho biết đội ngũ Amazon Inspector của họ đã xác định và báo cáo hơn 150.000 gói liên quan đến một chiến dịch farm token có tổ chức trong kho npm, có nguồn gốc từ một đợt ban đầu được phát hiện vào tháng 4 năm 2024.

“Đây là một trong những sự cố tràn gói lớn nhất trong lịch sử của các kho mã nguồn mở, và đại diện cho một thời điểm quyết định trong an ninh chuỗi cung ứng,” các nhà nghiên cứu cho biết. “Các tác nhân đe dọa tự động tạo ra và công bố các gói để kiếm phần thưởng tiền điện tử mà không có sự nhận thức của người dùng, cho thấy cách mà chiến dịch này đã mở rộng theo cấp số nhân kể từ khi được xác định lần đầu.”