Исследователи кибербезопасности раскрывают 7 npm-пакетов, опубликованных одним злоумышленником, нацеленным на пользователей крипто

Исследователи кибербезопасности обнаружили набор из семи npm-пакетов, опубликованных одним злоумышленником. Эти пакеты используют маскировочный сервис под названием Adspect для различения реальных жертв и исследователей безопасности, в конечном итоге перенаправляя их на сомнительные крипто-тематические сайты.

Вредоносные npm-пакеты были опубликованы злоумышленником под именем "dino_reborn" в период с сентября по ноябрь 2025 года. Пакеты включают signals-embed (342 загрузки), dsidospsodlks (184 загрузки), applicationooks21 (340 загрузок), application-phskck (199 загрузок), integrator-filescrypt2025 (199 загрузок), integrator-2829 (276 загрузок) и integrator-2830 (290 загрузок).

Adspect представляется как облачный сервис, защищающий рекламные кампании

Согласно веб-сайту, Adspect рекламирует облачный сервис, предназначенный для защиты рекламных кампаний от нежелательного трафика, включая мошенничество с кликами и ботов от антивирусных компаний. Он также утверждает, что предлагает "непробиваемую маскировку" и "надежно маскирует каждую рекламную платформу".

Он предлагает три плана: Ant-Fraud, Personal и Professional, которые стоят 299, 499 и 999 долларов в месяц. Компания также утверждает, что пользователи могут рекламировать "все, что захотят", добавляя, что следует политике без вопросов: "нам все равно, что вы запускаете, и мы не применяем никаких правил контента".

Исследователь безопасности Socket Оливия Браун заявила: "При посещении поддельного веб-сайта, созданного одним из пакетов, злоумышленник определяет, является ли посетитель жертвой или исследователем безопасности [...] Если посетитель является жертвой, он видит поддельную CAPTCHA, которая в конечном итоге приводит его на вредоносный сайт. Если это исследователь безопасности, только несколько признаков на поддельном веб-сайте могут подсказать им, что происходит что-то злонамеренное".

Способность AdSpect блокировать действия исследователей в веб-браузере

Из этих пакетов шесть имеют 39 кБ вредоносного ПО, которое скрывает себя и создает копию отпечатка системы. Оно также пытается избежать анализа, блокируя действия разработчиков в веб-браузере, что мешает исследователям просматривать исходный код или запускать инструменты разработчика.

Пакеты используют функцию JavaScript, называемую "Немедленно вызываемое функциональное выражение (IIFE)". Это позволяет вредоносному коду выполняться сразу после загрузки в веб-браузере. 

Однако "signals-embed" не имеет явной вредоносной функциональности и предназначен для создания белой страницы-приманки. Захваченная информация затем отправляется на прокси ("association-google[.]xyz/adspect-proxy[.]php"), чтобы определить, является ли источник трафика жертвой или исследователем, а затем предоставить поддельную CAPTCHA. 

После того, как жертва нажимает на флажок CAPTCHA, она перенаправляется на поддельную крипто-страницу, имитирующую такие сервисы, как StandX, с вероятной целью кражи цифровых активов. Но если посетители помечены как потенциальные исследователи, пользователям отображается белая поддельная страница. Она также содержит HTML-код, связанный с отображением политики конфиденциальности, связанной с поддельной компанией под названием Offlido.

Этот отчет совпадает с отчетом Amazon Web Services. В нем говорится, что команда Amazon Inspector идентифицировала и сообщила о более чем 150 000 пакетов, связанных с скоординированной кампанией по фармингу токенов TEA в реестре npm, которая берет свое начало в первой волне, обнаруженной в апреле 2024 года.

"Это один из крупнейших инцидентов с наводнением пакетами в истории реестров с открытым исходным кодом и представляет собой определяющий момент в безопасности цепочки поставок", - сказали исследователи Чи Тран и Чарли Бэкон. "Злоумышленники автоматически генерируют и публикуют пакеты для получения вознаграждений в криптовалюте без ведома пользователей, раскрывая, как кампания экспоненциально расширилась с момента ее первоначальной идентификации".

Хотите, чтобы ваш проект был представлен ведущим умам крипто-индустрии? Включите его в наш следующий отраслевой отчет, где данные встречаются с влиянием.