Investigadores de cibersegurança revelam 7 pacotes npm publicados por um único agente de ameaça visando utilizadores de cripto

Pesquisadores de cibersegurança revelaram um conjunto de sete pacotes npm publicados por um único ator de ameaça. Estes pacotes utilizam um serviço de ocultação chamado Adspect para distinguir entre vítimas reais e pesquisadores de segurança, redirecionando-os para sites duvidosos relacionados a criptomoedas.

Os pacotes npm maliciosos foram publicados por um ator de ameaça chamado "dino_reborn" entre setembro e novembro de 2025. Os pacotes incluem signals-embed (342 downloads), dsidospsodlks (184 downloads), applicationooks21 (340 downloads), application-phskck (199 downloads), integrator-filescrypt2025 (199 downloads), integrator-2829 (276 downloads) e integrator-2830 (290 downloads).

Adspect apresenta-se como um serviço baseado em nuvem que protege campanhas publicitárias

De acordo com o seu website, o Adspect anuncia um serviço baseado em computação nuvem projetado para proteger campanhas publicitárias de tráfego indesejado, incluindo fraudes de cliques e bots de empresas de antivírus. Também afirma oferecer "ocultação à prova de balas" e que "oculta de forma confiável todas e cada plataforma de publicidade."

Oferece três planos: Ant-Fraud, Personal e Professional, que custam $299, $499 e $999 por mês. A empresa também afirma que os usuários podem anunciar "qualquer coisa que queiram", acrescentando que segue uma política sem perguntas: não nos importamos com o que você executa e não impomos regras de conteúdo."

A pesquisadora de segurança da Socket, Olivia Brown, afirmou: "Ao visitar um site falso construído por um dos pacotes, o ator da ameaça determina se o visitante é uma vítima ou um pesquisador de segurança [...] Se o visitante for uma vítima, verá um CAPTCHA falso, eventualmente levando-o a um site malicioso. Se for um pesquisador de segurança, apenas alguns indícios no site falso os alertariam de que algo nefasto pode estar ocorrendo."

Capacidade do AdSpect de bloquear ações de pesquisadores em seu navegador web

Destes pacotes, seis têm um malware de 39kB que se esconde e faz uma cópia da impressão digital do sistema. Também tenta evitar análises bloqueando ações de desenvolvedores no navegador web, o que impede os pesquisadores de visualizar o código-fonte ou iniciar ferramentas de desenvolvedor.

Os pacotes aproveitam um recurso JavaScript chamado "Immediately Invoked Function Expression (IIFE)." Isso permite que o código malicioso seja executado imediatamente após ser carregado no navegador web. 

No entanto,  "signals-embed" não possui nenhuma funcionalidade maliciosa direta e é projetado para construir uma página branca de engodo. As informações capturadas são então enviadas a um proxy ("association-google[.]xyz/adspect-proxy[.]php") para determinar se a fonte de tráfego é de uma vítima ou de um pesquisador, e então servir um CAPTCHA falso. 

Depois que a vítima clica na caixa de seleção CAPTCHA, ela é redirecionada para uma página falsa relacionada a criptomoedas que se passa por serviços como StandX, com o provável objetivo de roubar ativos digitais. Mas se os visitantes forem sinalizados como potenciais pesquisadores, uma página branca falsa é exibida aos usuários. Também apresenta código HTML relacionado à exibição da política de privacidade associada a uma empresa falsa chamada Offlido.

Este relatório coincide com o relatório da Amazon Web Services. Ele afirmou que sua equipe do Amazon Inspector identificou e relatou mais de 150.000 pacotes vinculados a uma campanha coordenada de farming de tokens TEA no registro npm que tem suas origens em uma onda inicial detectada em abril de 2024.

"Este é um dos maiores incidentes de inundação de pacotes na história do registro de código aberto e representa um momento decisivo na segurança da cadeia de suprimentos," disseram os pesquisadores Chi Tran e Charlie Bacon. "Atores de ameaças geram e publicam pacotes automaticamente para ganhar recompensas em criptomoedas sem o conhecimento do usuário, revelando como a campanha se expandiu exponencialmente desde sua identificação inicial."

Quer seu projeto na frente das mentes mais brilhantes do mundo cripto? Destaque-o em nosso próximo relatório da indústria, onde dados encontram impacto.