Pesquisadores em cibersegurança identificaram sete pacotes npm maliciosos, publicados por um único agente de ameaça, que utilizam um serviço de cloaking chamado Adspect.
Essa técnica diferencia vítimas reais de pesquisadores de segurança, redirecionando as primeiras para sites duvidosos com temática de criptomoedas.
Os pacotes foram publicados entre setembro e novembro de 2025 pelo ator conhecido como “dino_reborn”.
Atualmente, a conta responsável por esses pacotes foi removida da plataforma npm.
A seguir, os nomes dos pacotes e suas estimativas de downloads:
- signals-embed (342 downloads)
- dsidospsodlks (184 downloads)
- applicationooks21 (340 downloads)
- application-phskck (199 downloads)
- integrator-filescrypt2025 (199 downloads)
- integrator-2829 (276 downloads)
- integrator-2830 (290 downloads)
Segundo Olivia Brown, pesquisadora da Socket Security, ao acessar um site falso originado desses pacotes, o invasor verifica se o visitante é uma vítima ou um pesquisador.
“Se for uma vítima, um CAPTCHA falso é exibido e, ao ser clicado, leva a um site malicioso.
Para pesquisadores, o site apresenta apenas alguns sinais sutis que indicam atividade suspeita”, explicou.
Seis dos pacotes contêm malware de aproximadamente 39 KB, responsável pelo mecanismo de cloaking.
Esse malware coleta a impressão digital do sistema e bloqueia ações dos desenvolvedores no navegador, como acesso ao código-fonte ou abertura das ferramentas de desenvolvimento, dificultando a análise.
Seu funcionamento usa uma característica do JavaScript chamada Immediately Invoked Function Expression (IIFE), que executa o código malicioso imediatamente após o carregamento.
Vale destacar que o pacote “signals-embed” não possui funcionalidades maliciosas, servindo apenas para exibir uma página em branco falsa como isca.
As informações coletadas são enviadas para um proxy localizado no endereço “association-google[.]xyz/adspect-proxy[.]php”, que decide se o visitante é vítima ou pesquisador e exibe o CAPTCHA falso quando necessário.
Após o clique da vítima, o usuário é redirecionado para uma página fraudulenta que simula serviços de criptomoedas, como o StandX, com provável objetivo de roubo de ativos digitais.
Para visitantes identificados como pesquisadores, é apresentada uma página em branco que disfarça o conteúdo, contendo código HTML relacionado a uma política de privacidade falsa da empresa Offlido.
O Adspect, segundo seu site oficial, é um serviço baseado em nuvem que protege campanhas publicitárias contra tráfegos indesejados, como fraudes de clique e bots, inclusive os usados por empresas antivírus.
O serviço oferece “cloaking à prova de falhas” e promete cobertura para todas as plataformas de anúncios.
Os planos custam US$ 299, US$ 499 e US$ 999 por mês, nas opções Ant-fraud, Personal e Professional, respectivamente.
A empresa também afirma não impor restrições sobre os tipos de anúncios veiculados, adotando uma política de “sem perguntas”.
De acordo com a Socket, o uso do Adspect para cloaking em pacotes da cadeia de suprimentos do npm é raro.
“Essa técnica combina cloaking de tráfego, controle anti-pesquisa e distribuição via código aberto.
Ao incorporar a lógica do Adspect a pacotes npm, o agente de ameaça distribui uma ferramenta autocontida que filtra automaticamente os visitantes e decide quem receberá o payload real”, completou a pesquisadora.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...