Investigadores de ciberseguridad han descubierto una serie de siete paquetes NPM lanzados por un único actor de amenazas que utilizan un servicio de encubrimiento llamado Adspect para distinguir entre víctimas reales e investigadores de seguridad, y en última instancia los redirige a sitios web dudosos con temas criptográficos.
A continuación se enumeran los paquetes NPM maliciosos lanzados entre septiembre y noviembre de 2025 por un actor de amenazas llamado “dino_reborn”. La cuenta npm ya no existe en npm al momento de escribir este artículo.
- Insertar señales (342 descargas)
- dsidospsodlks (184 descargas)
- aplicaciónooks21 (340 descargas)
- aplicación-phskck (199 descargas)
- integrador-filescrypt2025 (199 descargas)
- integrador-2829 (276 descargas)
- integrador-2830 (290 descargas)
“Al visitar un sitio web falso creado con uno de los paquetes, el actor de la amenaza determina si el visitante es una víctima o un investigador de seguridad”, dijo Olivia Brown, investigadora de seguridad de Socket.
“Si el visitante es una víctima, verá un CAPTCHA falso que finalmente lo redirige a un sitio web malicioso. Si es un investigador de seguridad, sólo unas pocas pistas en el sitio web falso lo alertarían de que algo malo podría estar sucediendo”.
De estos paquetes, seis contienen malware de 39 KB que contiene el mecanismo de encubrimiento y captura una huella digital del sistema. Al mismo tiempo, se toman medidas para eludir el análisis bloqueando las acciones de los desarrolladores en un navegador web, impidiendo efectivamente que los investigadores vean el código fuente o inicien herramientas de desarrollo.
Los paquetes utilizan una característica de JavaScript llamada Instantly Called Function Expression (IIFE), que permite que el código malicioso se ejecute inmediatamente después de cargarlo en el navegador web. Por el contrario, Signals-Embed no contiene ninguna funcionalidad maliciosa y está diseñado para crear una página blanca engañosa.
Brown le dijo a The Hacker News que el código malicioso se ejecuta una vez que un desarrollador importa el paquete y el archivo JavaScript se carga en el navegador o entorno. No se requiere interacción del usuario para desencadenar el comportamiento.
La información recopilada se envía a un proxy (“association-google(.)xyz/adspect-proxy(.)php”) para determinar si la fuente de tráfico proviene de una víctima o de un investigador y luego proporciona un CAPTCHA falso. Una vez que una víctima hace clic en la casilla de verificación CAPTCHA, es redirigida a un sitio de criptomonedas falso que se hace pasar por servicios como StandX, con el probable objetivo de robar activos digitales.
Sin embargo, si los visitantes están marcados como investigadores potenciales, a los usuarios se les muestra una página engañosa en blanco. También contiene código HTML que hace referencia a la política de privacidad de una empresa falsa llamada Offlido.
Según su sitio web, Adspect promueve un servicio basado en la nube diseñado para proteger las campañas publicitarias del tráfico no deseado, como fraudes de clics y bots de empresas antivirus. También afirma proporcionar un “encubrimiento a prueba de balas” y “ocultar de manera confiable cada plataforma publicitaria”.
Ofrece tres planes: Antifraude, Personal y Profesional, que cuestan $299, $499 y $999 por mes. La compañía también afirma que los usuarios pueden promocionar “lo que quieran”, y agrega que sigue una política de no hacer preguntas: no nos importa lo que ejecute y no aplicamos ninguna regla de contenido.
“El uso de encubrimiento de aspectos dentro de los paquetes de la cadena de suministro de NPM es poco común”, dijo Socket. “Este es un intento de combinar el encubrimiento del tráfico, los controles anti-investigación y la distribución de código abierto. Al incorporar la lógica de Adspect en los paquetes npm, el actor de amenazas puede distribuir un conjunto de herramientas de control de tráfico autónomo que decide automáticamente qué visitantes exponer a cargas útiles reales”.
About The Author
