暗号詐欺を隠していた7つのnpmパッケージが発覚

サイバーセキュリティ研究者らは、単一の脅威アクターによって公開された7つのnpmパッケージ群を明らかにしました。これらのパッケージは、Adspectと呼ばれるクローキングサービスを使用して、実際の被害者とセキュリティ研究者を区別し、最終的に怪しい暗号をテーマにしたサイトへリダイレクトします。

悪意のあるnpmパッケージは、2025年9月から11月の間に「dino_reborn」という脅威アクターによって公開されました。パッケージには、signals-embed（ダウンロード数342）、dsidospsodlks（ダウンロード数184）、applicationooks21（ダウンロード数340）、application-phskck（ダウンロード数199）、integrator-filescrypt2025（ダウンロード数199）、integrator-2829（ダウンロード数276）、integrator-2830（ダウンロード数290）が含まれます。

Adspectは広告キャンペーンを保護するクラウドベースのサービスを装っている

Adspectのウェブサイトによると、同社はクリック詐欺やアンチウイルス企業のボットなど、不要なトラフィックから広告キャンペーンを保護するクラウドベースのサービスを提供していると謳っている。また、「完璧なクローキング」を提供し、「あらゆる広告プラットフォームを確実にクローキングする」と主張している。

同社は、Ant-Fraud、Personal、Professionalの3つのプランを提供しており、それぞれ月額299ドル、499ドル、999ドルです。同社はまた、ユーザーは「何でも好きなものを宣伝できる」と主張しており、質問は一切受け付けない方針をとっています。つまり、どのような広告を掲載するかは問わず、コンテンツルールも強制しません。

ソケットセキュリティ研究者のオリビア・ブラウン氏は、 「攻撃者は、パッケージの一つによって作成された偽のウェブサイトにアクセスすると、訪問者が被害者かセキュリティ研究者かを判断します。[…] 訪問者が被害者の場合、偽のCAPTCHAが表示され、最終的に悪意のあるサイトに誘導されます。セキュリティ研究者の場合は、偽のウェブサイト上のいくつかの兆候から、何か悪質なことが起こっている可能性があることに気づくでしょう。」と述べています。

AdSpectのウェブブラウザで研究者の行動をブロックする機能

これらのパッケージのうち6つには、自身を隠蔽し、システムのフィンガープリントをコピーする39KBの マルウェア 。また、Webブラウザでの開発者操作をブロックすることで分析を回避しようとし、研究者がソースコードを閲覧したり、開発者ツールを起動したりすることを妨げます。

これらのパッケージは、「Immediately Invoked Function Expression (IIFE)」と呼ばれるJavaScriptの機能を利用しており、これにより、悪意のあるコードはWebブラウザに読み込まれるとすぐに実行されるようになります。 

しかし、「signals-embed」には悪意のある機能は一切なく、偽のホワイトページを作成するように設計されています。収集された情報はプロキシ（「association-google[.]xyz/adspect-proxy[.]php」）に送信され、トラフィックの送信元が被害者か研究者かを判断し、偽のCAPTCHAを表示します。 

被害者がCAPTCHAのチェックボックスをクリックすると、StandXなどのサービスを装った偽の暗号資産関連ページにリダイレクトされます。おそらくデジタル資産の窃取が目的です。しかし、訪問者が研究者の可能性があると判断された場合、偽の白いページが表示されます。このページには、Offlidoという偽の企業に関連するプライバシーポリシーに関するHTMLコードも含まれています。

この報告は、Amazon Web Servicesの 報告。Amazon Inspectorチームは、dentし、報告しました。このキャンペーンは、2024年4月に検出された最初の波に端を発しています。

送信事件の一つでありdent、 defiサプライチェーンセキュリティにおける決定的な瞬間と言えるでしょう」 研究者のChi Tran氏とCharlie Bacon氏は述べています。「攻撃者はmatic以来、いかに爆発的に拡大してきたかが明らかになりましたdent。」