7 个 npm 包被发现隐藏加密货币骗局

网络安全研究人员发现，同一威胁行为者发布了一组七个 npm 软件包。这些软件包使用名为 Adspect 的伪装服务来区分真实受害者和安全研究人员，最终将他们重定向到可疑的、以加密货币为主题的网站。

这些恶意 npm 软件包由名为“dino_reborn”的威胁行为者于 2025 年 9 月至 11 月期间发布。这些软件包包括 signals-embed（下载 342 次）、dsidospsodlks（下载 184 次）、applicationooks21（下载 340 次）、application-phskck（下载 199 次）、integrator-filescrypt2025（下载 199 次）、integrator-2829（下载 276 次）和 integrator-2830（下载 290 次）。

Adspect 声称提供基于云的服务，以保护广告活动。

根据其 网站介绍，Adspect 提供一项基于云的服务，旨在保护广告活动免受恶意流量的侵害，包括点击欺诈和杀毒软件公司的机器人程序。它还声称提供“万无一失的伪装”，并“可靠地伪装每一个广告平台”。

它提供三种套餐：反欺诈套餐、个人套餐和专业套餐，每月价格分别为 299 美元、499 美元和 999 美元。该公司还声称用户可以投放“任何你想投放的广告”，并补充说，他们奉行“不问缘由”的政策：“我们不在乎你投放什么广告，也不会强制执行任何内容规则。”

Socket 安全研究员 Olivia Brown 表示： “当用户访问由某个软件包构建的虚假网站时，攻击者会判断访问者是受害者还是安全研究人员。[…] 如果访问者是受害者，他们会看到一个虚假的验证码，最终被引导到一个恶意网站。如果他们是安全研究人员，虚假网站上的几个蛛丝马迹就会让他们意识到可能存在恶意行为。”

AdSpect 能够阻止研究人员在其网络浏览器中的操作

这些软件包中有六个包含一个 39kB 的 恶意软件 ，该软件能够隐藏自身并复制系统指纹。它还会通过阻止开发者在浏览器中的操作来逃避分析，从而阻止研究人员查看源代码或启动开发者工具。

这些软件包利用了 JavaScript 的一项名为“立即调用函数表达式 (IIFE)”的特性。该特性允许恶意代码在网页浏览器加载后立即执行。 

然而，“signals-embed”本身并不具备任何恶意功能，其设计目的是构建一个诱饵白页。捕获的信息随后会被发送到代理服务器（“association-google[.]xyz/adspect-proxy[.]php”），以确定流量来源是受害者还是研究人员，然后显示一个伪造的验证码。 

受害者点击验证码复选框后，会被重定向到一个虚假的加密货币相关页面，该页面模仿 StandX 等服务，其目的很可能是窃取数字资产。但如果访问者被标记为潜在的研究人员，则会向他们显示一个空白的虚假页面。该页面还包含与一家名为 Offlido 的虚假公司相关的 HTML 代码，用于显示其隐私政策。

这份报告与亚马逊网络服务 (AWS) 的 报告。AWS 报告指出，其 Amazon Inspector 团队dent并报告了超过 15 万个与有组织的 TEA 代币挖矿活动相关的软件包，该活动起源于 2024 年 4 月检测到的第一波攻击。

最大的软件包泛滥事件之一dent开源软件注册中心历史上 defi供应链安全领域的一个里程碑事件，” 人员 Chi Tran 和 Charlie Bacon 表示。“攻击者会matic以来，该攻击活动已呈指数级增长dent。”