Los investigadores de ciberseguridad descubrieron un conjunto de siete paquetes npm publicados por un solo atacante. El paquete aprovecha un servicio de encubrimiento llamado Adspect para distinguir entre víctimas reales e investigadores de seguridad y, en última instancia, redirigirlos a un sitio incompleto con temática criptográfica.
A continuación se muestran paquetes npm maliciosos publicados por un actor de amenazas llamado ‘dino_reborn’ entre septiembre y noviembre de 2025. Al momento de escribir este artículo, las cuentas npm no existen en npm.
signal-embed (342 descargas) dsidospsodlks (184 descargas) applicationooks21 (340 descargas) application-phskck (199 descargas) integrador-filescrypt2025 (199 descargas) integrador-2829 (276 descargas) integrador-2830 (290 descargas)
«Cuando visitas un sitio web falso creado con uno de nuestros paquetes, el atacante determina si el visitante es una víctima o un investigador de seguridad», dijo Olivia Brown, investigadora de seguridad de Socket.
«Si el visitante es la víctima, verá un CAPTCHA falso y eventualmente será redirigido a un sitio malicioso. Si el visitante es un investigador de seguridad, conocer sólo algunos datos del sitio web falso es suficiente para saber que algo malicioso puede estar sucediendo».
Seis de estos paquetes contienen 39 KB de malware que incorpora mecanismos de encubrimiento para capturar huellas digitales del sistema. Al mismo tiempo, toma medidas para evadir el análisis bloqueando las interacciones de los desarrolladores en los navegadores web, impidiendo efectivamente que los investigadores vean el código fuente o inicien herramientas de desarrollo.
Este paquete aprovecha una característica de JavaScript llamada expresión de función invocada inmediatamente (IIFE), que permite ejecutar código malicioso tan pronto como se carga en un navegador web. Por el contrario, «signals-embed» no contiene ninguna funcionalidad maliciosa y está diseñado para construir una página blanca señuelo.
La información capturada se envía a un proxy (‘association-google(.)xyz/adspect-proxy(.)php’) que determina si la fuente de tráfico proviene de la víctima o del investigador y proporciona un CAPTCHA falso. Cuando una víctima hace clic en una casilla de verificación CAPTCHA, se la dirige a una página falsa relacionada con criptomonedas que se hace pasar por un servicio como StandX que tiene como objetivo robar activos digitales.
Sin embargo, si un visitante es marcado como un investigador potencial, se le muestra una página señuelo blanca. También contiene código HTML relacionado con una política de privacidad de visualización asociada con una empresa falsa llamada Offlido.
Según el sitio web de Adspect, Adspect promueve un servicio basado en la nube diseñado para proteger las campañas publicitarias del tráfico no deseado, como el fraude de clics y los robots de las empresas antivirus. También afirma ofrecer un «encubrimiento a prueba de balas» y «ocultar de manera confiable cualquier plataforma publicitaria».
Hay tres planes: Antifraude, Personal y Profesional, con precios de $299, $499 y $999 por mes. La compañía también afirma que los usuarios pueden promocionar «lo que quieran», y agrega que sigue una política de no hacer preguntas. Es decir, no le importa lo que hagan los usuarios y no impone ninguna regla de contenido. »
«El encubrimiento de aspectos rara vez se utiliza dentro de los paquetes de la cadena de suministro de npm», dijo Socket. «Este es un intento de integrar el encubrimiento del tráfico, los controles anti-investigación y la distribución de código abierto. Al incorporar la lógica de Adspect en los paquetes npm, los atacantes pueden distribuir un conjunto de herramientas de control de tráfico autónomo que decide automáticamente qué visitantes exponer a la carga útil real».
Source link
