- Автор темы
- #1
Исследователи из компании Socket обнаружили в npm семь вредоносных пакетов, которые используют облачный сервис Adspect для маскировки своей активности и пытаются направить жертв на криптомошеннические сайты.
Официально Adspect позиционируется как инструмент для защиты сайтов от ботов. Однако, как показывает эта кампания, сервис может использоваться в противоположных целях — чтобы скрыть вредоносную активность.
Все обнаруженные специалистами пакеты были опубликованы с сентября по ноябрь 2025 года разработчиком под ником dino_reborn (geneboo@proton[.]me). Шесть из них содержали вредоносный код (собирающий данные о пользователях, чтобы определить, исходит ли трафик от исследователя или от потенциальной жертвы), а седьмой (signals-embed) использовался для создания страницы-приманки:
Отмечается, что вредоносный код активно противостоял анализу: блокировал правый клик, F12, а также комбинации клавиш Ctrl+U и Ctrl+Shift+I, а при обнаружении DevTools просто перезагружал страницу. Параллельно малварь осуществляла фингерпринтинг, собирая информацию о user agent, языке, протоколе, хосте и реферере, URI, параметрах запроса, кодировке и так далее. Все эти данные передавались прокси злоумышленников, а реальный IP жертвы — в API Adspect.
Если пользователь подходил под критерии злоумышленников, его перенаправляли на фальшивую CAPTCHA-страницу с логотипами Ethereum или Solana. Это запускало мошенническую последовательность, которая открывала определенный URL-адрес Adspect в новой вкладке, маскируя это под действие, инициированное пользователем.
Если же скрипт считал, что страницу изучает ИБ-исследователь, загружалась поддельная, но безобидная страница компании Offlido.
После публикации отчета специалистов все семь вредоносных пакетов были удалены из npm.
Официально Adspect позиционируется как инструмент для защиты сайтов от ботов. Однако, как показывает эта кампания, сервис может использоваться в противоположных целях — чтобы скрыть вредоносную активность.
Все обнаруженные специалистами пакеты были опубликованы с сентября по ноябрь 2025 года разработчиком под ником dino_reborn (geneboo@proton[.]me). Шесть из них содержали вредоносный код (собирающий данные о пользователях, чтобы определить, исходит ли трафик от исследователя или от потенциальной жертвы), а седьмой (signals-embed) использовался для создания страницы-приманки:
- signals-embed;
- dsidospsodlks;
- applicationooks21;
- application-phskck;
- integrator-filescrypt2025;
- integrator-2829;
- integrator-2830.
Отмечается, что вредоносный код активно противостоял анализу: блокировал правый клик, F12, а также комбинации клавиш Ctrl+U и Ctrl+Shift+I, а при обнаружении DevTools просто перезагружал страницу. Параллельно малварь осуществляла фингерпринтинг, собирая информацию о user agent, языке, протоколе, хосте и реферере, URI, параметрах запроса, кодировке и так далее. Все эти данные передавались прокси злоумышленников, а реальный IP жертвы — в API Adspect.
Если пользователь подходил под критерии злоумышленников, его перенаправляли на фальшивую CAPTCHA-страницу с логотипами Ethereum или Solana. Это запускало мошенническую последовательность, которая открывала определенный URL-адрес Adspect в новой вкладке, маскируя это под действие, инициированное пользователем.
Если же скрипт считал, что страницу изучает ИБ-исследователь, загружалась поддельная, но безобидная страница компании Offlido.
После публикации отчета специалистов все семь вредоносных пакетов были удалены из npm.