7 pacotes npm flagrados ocultando golpes com criptomoedas

Pesquisadores de cibersegurança revelaram um conjunto de sete pacotes npm publicados por um único agente malicioso. Esses pacotes utilizam um serviço de camuflagem chamado Adspect para distinguir entre vítimas reais e pesquisadores de segurança, redirecionando-os para sites suspeitos com temática criptográfica.

Os pacotes npm maliciosos foram publicados por um agente malicioso chamado “dino_reborn” entre setembro e novembro de 2025. Os pacotes incluem signals-embed (342 downloads), dsidospsodlks (184 downloads), applicationooks21 (340 downloads), application-phskck (199 downloads), integrator-filescrypt2025 (199 downloads), integrator-2829 (276 downloads) e integrator-2830 (290 downloads).

A Adspect se apresenta como um serviço baseado em nuvem que protege campanhas publicitárias.

De acordo com seu site, a Adspect anuncia um serviço baseado em nuvem projetado para proteger campanhas publicitárias de tráfego indesejado, incluindo fraudes de cliques e bots de empresas de antivírus. A empresa também afirma oferecer "camuflagem à prova de balas" e que "camufla com segurança todas as plataformas de publicidade".

Oferece três planos: Antifraude, Pessoal e Profissional, que custam US$ 299, US$ 499 e US$ 999 por mês, respectivamente. A empresa também afirma que os usuários podem anunciar “qualquer coisa que desejarem”, acrescentando que segue uma política sem perguntas: “Não nos importamos com o que você veicula e não aplicamos nenhuma regra de conteúdo”.

A pesquisadora de segurança da Socket, Olivia Brown, afirmou: “Ao visitar um site falso criado por um desses pacotes, o agente malicioso determina se o visitante é uma vítima ou um pesquisador de segurança. [...] Se o visitante for uma vítima, ele verá um CAPTCHA falso, que o levará a um site malicioso. Se for um pesquisador de segurança, apenas alguns indícios no site falso o alertarão de que algo suspeito pode estar acontecendo.”

A capacidade da AdSpect de bloquear as ações dos pesquisadores em seu navegador da web.

Desses pacotes, seis contêm um malware que se oculta e copia a impressão digital do sistema. Ele também tenta evitar análises bloqueando ações do desenvolvedor em um navegador da web, o que impede os pesquisadores de visualizar o código-fonte ou executar ferramentas de desenvolvimento.

Os pacotes exploram um recurso do JavaScript chamado "Expressão de Função Invocada Imediatamente (IIFE)". Ele permite que o código malicioso seja executado imediatamente após ser carregado no navegador da web. 

No entanto, o "signals-embed" não possui nenhuma funcionalidade maliciosa explícita e foi projetado para construir uma página branca falsa. As informações capturadas são então enviadas a um proxy ("association-google[.]xyz/adspect-proxy[.]php") para determinar se a origem do tráfego é de uma vítima ou de um pesquisador e, em seguida, exibir um CAPTCHA falso. 

Após a vítima clicar na caixa de seleção do CAPTCHA, ela é redirecionada para uma página falsa relacionada a criptomoedas que imita serviços como o StandX, provavelmente com o objetivo de roubar ativos digitais. Mas se os visitantes forem identificados como potenciais pesquisadores, uma página falsa em branco é exibida para os usuários. Ela também contém código HTML relacionado à política de privacidade de exibição associada a uma empresa falsa chamada Offlido.

Este relatório coincide com o relatório. Afirmou que a sua equipa do Amazon Inspector identificoudentreportou mais de 150.000 pacotes ligados a uma campanha coordenada de venda ilegal de tokens TEA no registo npm, que teve origem numa onda inicial detetada em abril de 2024.

“Este é um dos maiores incidentes de inundação de pacotesdenthistória dos registros de código aberto e representa um defimomento decisivo na segurança da cadeia de suprimentos”, os pesquisadores Chi Tran e Charlie Bacon. “Os agentes de ameaçasmaticpara ganhar recompensas em criptomoedas sem o conhecimento do usuário, revelando como a campanha se expandiu exponencialmente desde sua identificação inicialdent”