安全警報：7個惡意npm包通過Adspect隱蔽服務針對加密貨幣用戶

！image

資料來源：CryptoNewsNet 原始標題：網路安全研究人員揭示了由單一威脅行爲者發布的7個npm包，針對加密用戶 原始連結： 網路安全研究人員揭示了一組由單一威脅行爲者發布的七個 npm 包。這些包使用名爲 Adspect 的隱蔽服務來區分真實受害者和安全研究人員，最終將他們重定向到可疑的加密主題網站。

惡意 npm 包是由名爲“dino_reborn”的威脅行爲者在 2025 年 9 月至 2025 年 11 月期間發布的。這些軟件包包括 signals-embedded (342 downloads)、dsidospsodlks (184 downloads)、applicationooks21 (340 downloads)、application-phskck (199 downloads)、integrator-filescrypt2025 (199 downloads)、integrator-2829 (276 downloads) 和integrator-2830 (290 downloads)。

Adspect 作爲一種基於雲的服務，保護廣告活動

根據其網站，Adspect 宣傳了一種基於雲的服務，旨在保護廣告活動免受不必要流量的影響，包括點擊欺詐和來自殺毒公司的機器人。它還聲稱提供 “防彈隱蔽”，並且 “可靠地隱蔽每一個廣告平台。”

它提供三種計劃：反欺詐計劃、個人計劃和專業計劃，分別每月收費299美元、499美元和$999 。該公司還聲稱用戶可以廣告“任何你想要的”，並補充說它遵循無條件政策：“我們不關心你在做什麼，也不執行任何內容規則。”

Socket安全研究員Olivia Brown表示：“在訪問由其中一個軟件包構建的假網站時，威脅行爲者會判斷訪客是受害者還是安全研究員。如果訪客是受害者，他們會看到一個假驗證碼，最終將他們引導到一個惡意網站。如果他們是安全研究員，假網站上的一些細節會讓他們意識到可能發生了不法行爲。”

AdSpect在其網頁瀏覽器中阻止研究人員行動的能力

在這些軟件包中，有六個包含39kB的惡意軟件，它能夠隱藏自身並復制系統的指紋。它還試圖通過阻止開發者在網頁瀏覽器中的操作來逃避分析，這阻止了研究人員查看原始碼或啓動開發者工具。

這些包利用了一個叫做"立即調用函數表達式(IIFE)"的JavaScript特性。它允許惡意代碼在加載到網頁瀏覽器時立即執行。

然而，“signals-embed” 並沒有任何惡意功能，旨在構建一個誘餌白頁。捕獲的信息隨後被發送到代理，以確定流量來源是來自受害者還是研究人員，然後提供一個假 CAPTCHA。

在受害者點擊 CAPTCHA 復選框後，他們會被重定向到一個假冒的與加密貨幣相關的頁面，該頁面冒充服務，可能旨在竊取數字資產。但如果訪客被標記爲潛在研究人員，則會向用戶顯示一個白色假頁面。它還包含與假公司相關的顯示隱私政策的 HTML 代碼。

本報告與亞馬遜網路服務的報告一致。報告指出，其亞馬遜檢查員團隊在npm註冊表中識別並報告了超過150,000個與協調的代幣挖掘活動相關的包，這一活動源於2024年4月檢測到的初次波動。

“這是開源註冊表歷史上最大的包泛濫事件之一，代表了供應鏈安全的一個決定性時刻，” 研究人員表示。“威脅行爲者自動生成並發布包，以賺取加密貨幣獎勵，而用戶對此毫不知情，揭示了這一活動自最初識別以來如何呈指數級擴展。”