Кампания вредоносных npm-пакетов с Adspect cloaking и кражей криптовалюты

Исследователи обнаружили недавнюю кампанию вредоносного ПО, нацеленную на пакеты npm. Атакующие применяют метод, известный как cloaking Adspect, чтобы доставлять перенаправления и получать подробные отпечатки посетителей взломанных сайтов. По всей видимости, конечная цель — содействие кражам криптовалюты за счёт социально-инженерных приёмов и поддельных интерфейсов.

Что выявлено

Выявлены несколько вредоносных пакетов, содержащих полезную нагрузку ~39 Кбайт. Различия между ними в основном касаются конфигураций Adspect и целевых URL. Среди обнаруженных пакетов:

• dsidospsodlks
• applicationooks21
• application-phskck
• integrator-filescrypt2025
• integrator-2829
• integrator-2830

Механизм атаки

При загрузке и выполнении вредоносного кода на взломанной веб-странице происходит сбор данных о посетителе, которые затем пересылаются злоумышленникам через Adspect API через прокси‑конечную точку, указанную в коде. В частности, в коде используются элементы, включающие adspect-proxy.

Собираемые данные включают:

• IP-адрес
• информация об устройстве и браузере
• языковой стандарт
• реферер (ссылка/хостинг)
• просматриваемый контент
• время запроса

На основе этой информации злоумышленник формирует детальные отпечатки потенциальных жертв и принимает решение, является ли посетитель «целью». Если пользователь помечается как цель, ему показывается CAPTCHA, призванная скрыть перенаправление и придать взаимодействию вид легитимности.

Социальная инженерия через CAPTCHA

Показанная CAPTCHA содержит ссылки на авторитетные крипто‑ресурсы — standx.com, jup.ag, uniswap.org — что усиливает доверие жертвы. Дизайн и фирменный стиль CAPTCHA стилизованы под интерфейсы криптобирж, что указывает на целенаправленную попытку убедить пользователя, будто он взаимодействует с подлинными сервисами.

Конечной целью злоумышленника, вероятно, является содействие краже криптовалюты через поддельные интерфейсы и перенаправления.

Пакет signals-embed и стратегия маскировки

Отдельный пакет signals-embed, созданный тем же злоумышленником, содержит код для генерации внешне безобидной веб‑страницы. Хотя сама страница может не выполнять вредоносных действий, её задача — взаимодействовать с вредоносными пакетами и создавать видимость доверия, в том числе в глазах исследователей безопасности. Такая связка указывает на продуманную, согласованную стратегию злоумышленника по поддержанию правдоподобия и долговременной эксплуатации.

Тактики и соответствие MITRE ATT&CK

Применяемые приёмы соответствуют нескольким техникам из фреймворка MITRE ATT&CK:

• Компрометация цепочки поставок (Supply Chain Compromise)
• Приобретение инфраструктуры (Acquisition of Infrastructure)
• Execution: методы с участием пользователей (Execution via User Interaction)
• Drive‑by / теневые компрометации (drive-by compromises)
• Маскировка и уклонение (Obfuscation & Evasion)

Риски для разработчиков и пользователей

• Подмена или компрометация зависимостей может привести к масштабному распространению вредоносного кода.
• Сбор подробных отпечатков позволяет злоумышленникам таргетировать ценные аккаунты и кошельки.
• Социальная инженерия через стилизованные CAPTCHA повышает вероятность успешной кражи средств.

Рекомендации

• Провести незамедлительный аудит зависимостей и удалить подозрительные пакеты из проектов и реестров.
• Использовать SCA‑инструменты (Software Composition Analysis) для автоматического обнаружения вредоносных или подменённых пакетов.
• Контролировать сетевые вызовы в средах выполнения и блокировать обращения к подозрительным proxy‑эндпоинтам, включая упоминания adspect-proxy.
• Применять lockfile и проверять контрольные суммы пакетов при установке зависимостей.
• Обучать разработчиков и DevOps‑команды распознавать фишинговые интерфейсы и поддельные CAPTCHA.
• Сообщать о обнаруженных вредоносных пакетах в npm Registry и соответствующие органы/сообщества безопасности.
• Ограничить привилегии и секреты в CI/CD, которые могут быть скомпрометированы через зависимости.

Вывод

Обнаруженная кампания демонстрирует скоординированный и технически грамотный подход злоумышленников: комбинирование компрометации цепочки поставок, детального снятия отпечатков и социальной инженерии через визуально правдоподобную CAPTCHA. Разработчики, администраторы и исследователи безопасности должны оперативно пересмотреть используемые зависимости, усилить мониторинг сетевых вызовов и применять защитные практики для минимизации риска кражи криптовалют и других инцидентов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Кампания вредоносных npm-пакетов с Adspect cloaking и кражей криптовалюты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.