7 paquets npm pris en flagrant délit de dissimulation d'escroqueries liées aux cryptomonnaies

Des chercheurs en cybersécurité ont mis au jour sept paquets npm publiés par un seul acteur malveillant. Ces paquets utilisent un service de dissimulation appelé Adspect pour distinguer les véritables victimes des chercheurs en sécurité, et les rediriger vers des sites douteux liés aux cryptomonnaies.

Les packages npm malveillants ont été publiés par un acteur de la menace nommé « dino_reborn » entre septembre et novembre 2025. Les packages incluent signals-embed (342 téléchargements), dsidospsodlks (184 téléchargements), applicationooks21 (340 téléchargements), application-phskck (199 téléchargements), integrator-filescrypt2025 (199 téléchargements), integrator-2829 (276 téléchargements) et integrator-2830 (290 téléchargements).

Adspect se présente comme un service cloud qui protège les campagnes publicitaires

D'après son site web, Adspect propose un service cloud conçu pour protéger les campagnes publicitaires contre le trafic indésirable, notamment la fraude au clic et les bots provenant d'antivirus. L'entreprise affirme également offrir un « masquage à toute épreuve » et garantir un masquage fiable de toutes les plateformes publicitaires.

Elle propose trois formules : Anti-fraude, Personnel et Professionnel, à 299 $, 499 $ et 999 $ par mois respectivement. L’entreprise affirme également que les utilisateurs peuvent diffuser « tout ce qu’ils veulent », ajoutant qu’elle applique une politique de tolérance zéro : « Nous ne nous soucions pas de ce que vous diffusez et n’appliquons aucune règle de contenu. »

Olivia Brown, chercheuse en sécurité chez Socket, a déclaré : « Lorsqu’un visiteur accède à un faux site web créé par l’un de ces logiciels malveillants, le pirate détermine s’il s’agit d’une victime ou d’un chercheur en sécurité. […] Si le visiteur est une victime, il voit un faux CAPTCHA qui le redirige vers un site malveillant. S’il s’agit d’un chercheur en sécurité, quelques indices sur le faux site web suffisent à le mettre sur la piste d’une activité suspecte. »

La capacité d'AdSpect à bloquer les actions des chercheurs dans son navigateur Web

Parmi ces paquets, six contiennent un logiciel malveillant qui se dissimule et crée une copie de l'empreinte numérique du système. Il tente également d'échapper à l'analyse en bloquant les actions de développement dans un navigateur web, empêchant ainsi les chercheurs de consulter le code source ou d'exécuter des outils de développement.

Ces packages exploitent une fonctionnalité JavaScript appelée « Expression de fonction immédiatement invoquée (IIFE) ». Elle permet l’exécution immédiate du code malveillant dès son chargement dans le navigateur web. 

Cependant, « signals-embed » ne possède aucune fonctionnalité malveillante intrinsèque et sert à créer une fausse page blanche. Les informations capturées sont ensuite envoyées à un proxy (« association-google[.]xyz/adspect-proxy[.]php ») afin de déterminer si le trafic provient d'une victime ou d'un chercheur, puis d'afficher un faux CAPTCHA. 

Après avoir cliqué sur la case CAPTCHA, la victime est redirigée vers une fausse page liée aux cryptomonnaies, imitant des services comme StandX, dans le but probable de voler des actifs numériques. Si les visiteurs sont identifiés comme de potentiels chercheurs, une fausse page blanche s'affiche. Celle-ci contient également du code HTML correspondant à la politique de confidentialité d'une fausse entreprise nommée Offlido.

Ce rapport coïncide avec celui. Il indique que son équipe Amazon Inspector adentet signalé plus de 150 000 paquets liés à une campagne coordonnée de farming de jetons TEA dans le registre npm, campagne qui trouve son origine dans une première vague détectée en avril 2024.

« Il s’agit de l’un des plus importants incidents de saturation de paquets jamaisdentdans l’histoire des registres open source, et il représente un defitournant décisif pour la sécurité de la chaîne d’approvisionnement », déclaré les chercheurs Chi Tran et Charlie Bacon. « Des acteurs malveillants génèrent et publient automatiquementmaticpaquets pour obtenir des récompenses en cryptomonnaie à l’insu des utilisateurs, ce qui révèle la croissance exponentielle de cette campagne depuis sondent. »