網路安全研究人員揭露由單一威脅行為者發布的7個npm套件，針對加密貨幣用戶

網絡安全研究人員揭露了由單一威脅行為者發布的七個 npm 套件。這些套件使用名為 Adspect 的隱藏服務來區分真實受害者和安全研究人員，最終將他們重定向到可疑的加密貨幣主題網站。

這些惡意 npm 套件是由名為 "dino_reborn" 的威脅行為者在 2025 年 9 月至 11 月期間發布的。這些套件包括 signals-embed（342 次下載）、dsidospsodlks（184 次下載）、applicationooks21（340 次下載）、application-phskck（199 次下載）、integrator-filescrypt2025（199 次下載）、integrator-2829（276 次下載）和 integrator-2830（290 次下載）。

Adspect 偽裝成保護廣告活動的雲端服務

根據其網站，Adspect 宣傳一種雲端服務，旨在保護廣告活動免受不必要的流量影響，包括點擊欺詐和來自防毒公司的機器人。它還聲稱提供"防彈隱藏"功能，並"可靠地隱藏每一個廣告平台。"

它提供三種方案：反欺詐、個人和專業版，每月費用分別為 299 美元、499 美元和 999 美元。該公司還聲稱用戶可以"隨意宣傳任何內容"，並補充說它遵循不問問題的政策："我們不關心你運行什麼，也不執行任何內容規則。"

Socket 安全研究員 Olivia Brown 表示，"當訪問由其中一個套件構建的假網站時，威脅行為者會判斷訪問者是受害者還是安全研究人員[...]如果訪問者是受害者，他們會看到一個假的驗證碼，最終將他們帶到惡意網站。如果他們是安全研究人員，假網站上只有幾個跡象會提示他們可能正在發生一些不良行為。"

AdSpect 在網頁瀏覽器中阻止研究人員操作的能力

在這些套件中，有六個包含 39kB 的惡意軟件，它會隱藏自己並複製系統的指紋。它還試圖通過阻止網頁瀏覽器中的開發者操作來逃避分析，這阻止了研究人員查看源代碼或啟動開發者工具。

這些套件利用了一種稱為"立即調用函數表達式（IIFE）"的 JavaScript 功能。它允許惡意代碼在網頁瀏覽器加載時立即執行。 

然而， "signals-embed" 並沒有任何直接的惡意功能，它被設計用來構建一個誘餌白頁。捕獲的信息隨後被發送到代理（"association-google[.]xyz/adspect-proxy[.]php"）以確定流量來源是來自受害者還是研究人員，然後提供假的驗證碼。 

當受害者點擊驗證碼複選框後，他們會被重定向到一個冒充 StandX 等服務的虛假加密貨幣相關頁面，其可能目的是竊取數字資產。但如果訪問者被標記為潛在研究人員，用戶將看到一個白色假頁面。它還包含與名為 Offlido 的假公司相關的隱私政策顯示的 HTML 代碼。

這份報告與 Amazon Web Services 的報告相吻合。該報告指出，其 Amazon Inspector 團隊已識別並報告了超過 150,000 個與 npm 註冊表中協調的 TEA 代幣挖礦活動相關的套件，該活動源於 2024 年 4 月檢測到的初始浪潮。

"這是開源註冊表歷史上最大的套件泛濫事件之一，代表了供應鏈安全的一個決定性時刻，"研究人員 Chi Tran 和 Charlie Bacon 表示。"威脅行為者自動生成並發布套件以賺取加密貨幣獎勵，而用戶卻毫不知情，這揭示了該活動自最初識別以來呈指數級擴展。"

想讓您的項目展現在加密貨幣頂尖人士面前嗎？在我們的下一份行業報告中展示它，數據與影響力在此交匯。