Кампания вредоносного ПО в npm использует маскировку Adspect для перенаправления на мошеннические сайты

Злоумышленник создал шесть вредоносных пакетов и один веб-пакет, которые оставались активными в npm до момента их перевода в режим security holding после уведомления от исследователей. Пакеты signals-embed, dsidospsodlks, applicationooks21, application-phskck, integrator-filescrypt2025, integrator-2829 и integrator-2830 содержали практически идентичный код с минимальными различиями в конфигурации Adspect.

Техника маскировки (cloaking) позволяла определять тип посетителя через сбор 13 параметров, включая пользовательский агент, реферер, язык браузера и временную метку. Собранные данные передавались через прокси-серверы на базе adspect-proxy.php для скрытия структуры API Adspect. В результате анализа Adspect API возвращал решение: показывать ли посетителю белый экран (для исследователей) или поддельную CAPTCHA с последующим перенаправлением.

Интересной особенностью стало внедрение сложных анти-аналитических техник. Код блокировал правый клик, комбинации клавиш F12, Ctrl+U и Ctrl+Shift+I, а также обнаруживал открытие инструментов разработчика с последующей перезагрузкой страницы. Эти меры значительно затрудняли анализ вредоносного кода исследователями безопасности.

Поддельная CAPTCHA имитировала интерфейсы известных криптобирж standx.com, jup.ag и uniswap.org, создавая видимость легитимной проверки. После клика на CAPTCHA через три секунды показывалось сообщение об успешной проверке, а через дополнительную секунду открывалась новая вкладка с мошенническим сайтом. Такая задержка помогала обходить автоматические системы защиты и повышала доверие жертв.

Пакет signals-embed содержал код статической веб-страницы компании Offlido с профессионально оформленными юридическими документами, что нехарактерно для быстрых кампаний маскировки. Это снижало подозрительность и увеличивало время анализа для исследователей безопасности.

Эксперты отмечают, что использование Adspect cloaking в пакетах npm представляет собой редкий случай сочетания маскировки трафика, противодействия исследованиям и распространения через открытые репозитории. Особую опасность представляет возможность злоумышленника менять целевые URL через Adspect API без перепубликации пакетов, что делает takedown-меры реактивными, а не превентивными.

Рекомендации для защитников включают мониторинг неожиданных скриптов, отключающих пользовательские взаимодействия, отслеживание путей /adspect-proxy.php и /adspect-file.php, а также использование специализированных инструментов безопасности для анализа поведения пакетов. Подобные техники, вероятно, будут появляться с новыми названиями пакетов и брендовыми фасадами, требуя постоянного совершенствования защитных механизмов в экосистеме открытого программного обеспечения.

Threat Actor’s Email Address

• geneboo@proton.me

Malicious Packages

• signals-embed
• dsidospsodlks
• applicationooks21
• application-phskck
• integrator-filescrypt2025
• integrator-2829
• integrator-2830

Configuration Strings

• https://association-google.xyz/adspect-proxy.php
• 81330cb9-f454-414c-a166-9841238cb086
• https://appprotector.online/adspect-proxy.php
• fbaf1202-e5ff-4b06-9c94-9692d823b8cd
• https://appprotector.online/adspect-file.php?file=${filename}
• f942b777-086e-4b8c-a9f3-ad2b233e98f5
• https://protectorapp.online/adspect-proxy.php
• https://protectorapp.online/adspect-file.php
• 81330cb9-f454-414c-a166-9841238cb086
• integrator-google2025
• https://association-google.xyz/adspect-file.php?file=${filename}

Fake Webpage

• https://fanqut.eu.com/about.html