Peneliti keamanan siber mengungkapkan 7 paket npm yang dipublikasikan oleh satu aktor ancaman yang menargetkan pengguna kripto

Peneliti keamanan siber telah mengungkapkan serangkaian tujuh paket npm yang dipublikasikan oleh satu aktor ancaman. Paket-paket ini menggunakan layanan penyamaran bernama Adspect untuk membedakan antara korban nyata dan peneliti keamanan, yang pada akhirnya mengarahkan mereka ke situs-situs bertema kripto yang mencurigakan.

Paket npm berbahaya tersebut dipublikasikan oleh aktor ancaman bernama "dino_reborn" antara September dan November 2025. Paket-paket tersebut meliputi signals-embed (342 unduhan), dsidospsodlks (184 unduhan), applicationooks21 (340 unduhan), application-phskck (199 unduhan), integrator-filescrypt2025 (199 unduhan), integrator-2829 (276 unduhan), dan integrator-2830 (290 unduhan).

Adspect berpose sebagai layanan berbasis cloud yang melindungi kampanye iklan

Menurut situsnya, Adspect mengiklankan layanan berbasis cloud yang dirancang untuk melindungi kampanye iklan dari lalu lintas yang tidak diinginkan, termasuk penipuan klik dan bot dari perusahaan antivirus. Layanan ini juga mengklaim menawarkan "penyamaran yang tahan peluru" dan "secara andal menyamarkan setiap platform periklanan."

Layanan ini menawarkan tiga paket: Ant-Fraud, Personal, dan Professional, yang masing-masing berharga $299, $499, dan $999 per bulan. Perusahaan tersebut juga mengklaim pengguna dapat mengiklankan "apa pun yang Anda inginkan," menambahkan bahwa mereka mengikuti kebijakan tanpa pertanyaan: kami tidak peduli apa yang Anda jalankan dan tidak memberlakukan aturan konten apa pun."

Peneliti keamanan Socket, Olivia Brown menyatakan, "Saat mengunjungi situs web palsu yang dibuat oleh salah satu paket, aktor ancaman menentukan apakah pengunjung adalah korban atau peneliti keamanan [...] Jika pengunjung adalah korban, mereka melihat CAPTCHA palsu, yang akhirnya membawa mereka ke situs berbahaya. Jika mereka adalah peneliti keamanan, hanya beberapa petunjuk di situs web palsu yang akan memberi tahu mereka bahwa sesuatu yang jahat mungkin sedang terjadi."

Kemampuan AdSpect untuk memblokir tindakan peneliti di browser web

Dari paket-paket ini, enam di antaranya memiliki malware berukuran 39kB yang menyembunyikan dirinya sendiri dan membuat salinan sidik jari sistem. Malware ini juga berusaha menghindari analisis dengan memblokir tindakan pengembang di browser web, yang mencegah peneliti melihat kode sumber atau meluncurkan alat pengembang.

Paket-paket tersebut memanfaatkan fitur JavaScript yang disebut "Immediately Invoked Function Expression (IIFE)." Ini memungkinkan kode berbahaya dieksekusi segera setelah dimuat di browser web. 

Namun, "signals-embed" tidak memiliki fungsionalitas berbahaya secara langsung dan dirancang untuk membangun halaman putih umpan. Informasi yang ditangkap kemudian dikirim ke proxy ("association-google[.]xyz/adspect-proxy[.]php") untuk menentukan apakah sumber lalu lintas berasal dari korban atau peneliti, dan kemudian menampilkan CAPTCHA palsu. 

Setelah korban mengklik kotak centang CAPTCHA, mereka dialihkan ke halaman terkait kripto palsu yang meniru layanan seperti StandX, dengan tujuan kemungkinan untuk mencuri aset digital. Tetapi jika pengunjung ditandai sebagai peneliti potensial, halaman putih palsu ditampilkan kepada pengguna. Halaman ini juga menampilkan kode HTML terkait dengan kebijakan privasi yang ditampilkan yang terkait dengan perusahaan palsu bernama Offlido.

Laporan ini bertepatan dengan laporan Amazon Web Services. Laporan tersebut menyatakan bahwa tim Amazon Inspector mereka telah mengidentifikasi dan melaporkan lebih dari 150.000 paket yang terkait dengan kampanye farming token TEA terkoordinasi di registri npm yang berasal dari gelombang awal yang terdeteksi pada April 2024.

"Ini adalah salah satu insiden banjir paket terbesar dalam sejarah registri open source, dan mewakili momen penting dalam keamanan rantai pasokan," kata peneliti Chi Tran dan Charlie Bacon. "Aktor ancaman secara otomatis menghasilkan dan mempublikasikan paket untuk mendapatkan hadiah cryptocurrency tanpa kesadaran pengguna, mengungkapkan bagaimana kampanye tersebut telah berkembang secara eksponensial sejak identifikasi awalnya."

Ingin proyek Anda di hadapan pikiran-pikiran terbaik di dunia kripto? Tampilkan di laporan industri kami berikutnya, di mana data bertemu dampak.