Nova campanha de malware NPM redireciona vítimas para sites de cripto – Against Invaders

Nova campanha de malware NPM redireciona vítimas para sites de cripto - Against Invaders

Uma nova campanha de malware construída em torno de sete pacotes npm foi descoberta por especialistas em cibersegurança.

A campanha, observada pela Equipe de Pesquisa de Ameaças do Socket, é operada por um ator ameaçador conhecido como dino_reborn. Ele utiliza uma combinação de ferramentas de camuflagem, controles anti-análise e CAPTCHAs falsos de troca de criptomoedas para identificar se um visitante é uma vítima potencial ou um pesquisador de segurança.

Seis dos pacotes contêm amostras de malware quase idênticas de 39 KB, enquanto um sétimo constrói uma página de fachada.

Todos os sete permaneceram ativos até que os pedidos de remoção os colocassem em custódia de segurança. Os pacotes incluem signals-embed, dsidospsodlks, applicationooks21, application-phskck, integrator-filescrypt2025, integrator-2829 e integrator-2830.

Como a campanha funcionou

Cada pacote malicioso foi executado automaticamente por meio de um IIFE e imediatamente começou a coletar uma impressão digital detalhada do dispositivo visitante. Treze pontos de dados foram coletados, variando desde useragent até configurações de idioma. Esses detalhes eram então encaminhados por meio de um proxy para a API Adspect, um serviço de ocultação de tráfego.

Se a API da Adspect decidisse que o visitante é um pesquisador de segurança, o código exibia uma “página branca” construída a partir de ativos estáticos. Se determinasse que o visitante era uma vítima, um CAPTCHA falso marcado com standx.com, jup.ag ou uniswap.org aparecia. Após um breve atraso, o CAPTCHA redirecionava a vítima para uma URL maliciosa fornecida pela Adspect.

Leia mais sobre campanhas de ameaça focadas em criptomoedas: Nova campanha da NCA alerta homens contra golpes de investimento em criptomoedas

Os pacotes de malware e a página da fachada se comunicavam usando IDs de contêineres compartilhados. O Signals-embed constrói a página branca que os pesquisadores viram, enquanto o código de reserva dentro do malware reconstruiu uma página com a marca Offlido caso a rede falhasse. Recursos anti-análise bloquearam o clique direito, F12, Ctrl+u e detectaram DevTools aberto, fazendo a página recarregar.

Os principais indicadores desta campanha incluem:

  • Uso dos caminhos /adspect-proxy.php e /adspect-file.php

  • JavaScript que desabilita interações do usuário

  • Redirecionamentos dinâmicos vinculados aos IDs de stream Adspect

Perspectivas e Orientação Defensiva

Pesquisadores de sockets disseram Esta campanha Une distribuição open source com técnicas tradicionalmente vistas em operações de malvertizing. Como o Adspect retorna URLs de redirecionamento novas em cada requisição, os payloads podem mudar rapidamente.

“Os defensores devem esperar abuso contínuo da infraestrutura de camuflagem e proxy no estilo Adspect em pacotes open source executados pelo navegador. Essas táticas provavelmente reaparecerão com novas fachadas de marca e novos nomes de pacotes”, alertaram os especialistas em segurança.

“As equipes web devem tratar scripts inesperados que desabilitam interações do usuário ou que postam impressões digitais detalhadas de clientes em endpoints PHP desconhecidos como sinais de alerta imediatos. Os defensores de rede devem monitorar caminhos /adspect-proxy.php e /adspect-file.php em qualquer domínio, pois estes servem como indicadores confiáveis do conjunto de ferramentas desse ator.”

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.