安全警报：7个恶意npm包通过Adspect隐蔽服务针对加密货币用户

！image

资料来源：CryptoNewsNet 原始标题：网络安全研究人员揭示了由单一威胁行为者发布的7个npm包，针对加密用户 原始链接： 网络安全研究人员揭示了一组由单一威胁行为者发布的七个 npm 包。这些包使用名为 Adspect 的隐蔽服务来区分真实受害者和安全研究人员，最终将他们重定向到可疑的加密主题网站。

恶意 npm 包是由名为“dino_reborn”的威胁行为者在 2025 年 9 月至 2025 年 11 月期间发布的。这些软件包包括 signals-embedded (342 downloads)、dsidospsodlks (184 downloads)、applicationooks21 (340 downloads)、application-phskck (199 downloads)、integrator-filescrypt2025 (199 downloads)、integrator-2829 (276 downloads) 和integrator-2830 (290 downloads)。

Adspect 作为一种基于云的服务，保护广告活动

根据其网站，Adspect 宣传了一种基于云的服务，旨在保护广告活动免受不必要流量的影响，包括点击欺诈和来自杀毒公司的机器人。它还声称提供 “防弹隐蔽”，并且 “可靠地隐蔽每一个广告平台。”

它提供三种计划：反欺诈计划、个人计划和专业计划，分别每月收费299美元、499美元和$999 。该公司还声称用户可以广告“任何你想要的”，并补充说它遵循无条件政策：“我们不关心你在做什么，也不执行任何内容规则。”

Socket安全研究员Olivia Brown表示：“在访问由其中一个软件包构建的假网站时，威胁行为者会判断访客是受害者还是安全研究员。如果访客是受害者，他们会看到一个假验证码，最终将他们引导到一个恶意网站。如果他们是安全研究员，假网站上的一些细节会让他们意识到可能发生了不法行为。”

AdSpect在其网页浏览器中阻止研究人员行动的能力

在这些软件包中，有六个包含39kB的恶意软件，它能够隐藏自身并复制系统的指纹。它还试图通过阻止开发者在网页浏览器中的操作来逃避分析，这阻止了研究人员查看源代码或启动开发者工具。

这些包利用了一个叫做"立即调用函数表达式(IIFE)"的JavaScript特性。它允许恶意代码在加载到网页浏览器时立即执行。

然而，“signals-embed” 并没有任何恶意功能，旨在构建一个诱饵白页。捕获的信息随后被发送到代理，以确定流量来源是来自受害者还是研究人员，然后提供一个假 CAPTCHA。

在受害者点击 CAPTCHA 复选框后，他们会被重定向到一个假冒的与加密货币相关的页面，该页面冒充服务，可能旨在窃取数字资产。但如果访客被标记为潜在研究人员，则会向用户显示一个白色假页面。它还包含与假公司相关的显示隐私政策的 HTML 代码。

本报告与亚马逊网络服务的报告一致。报告指出，其亚马逊检查员团队在npm注册表中识别并报告了超过150,000个与协调的代币挖掘活动相关的包，这一活动源于2024年4月检测到的初次波动。

“这是开源注册表历史上最大的包泛滥事件之一，代表了供应链安全的一个决定性时刻，” 研究人员表示。“威胁行为者自动生成并发布包，以赚取加密货币奖励，而用户对此毫不知情，揭示了这一活动自最初识别以来如何呈指数级扩展。”