Alerta Máximo: 7 Pacotes NPM Infectados por Agente Único Ameaçam Carteiras de Criptomoedas

Caçadores de vulnerabilidades desvendam operação sofisticada que infiltrou ecossistema JavaScript

O Golpe na Linha de Comando

Mecanismo de Infecção

Resposta Imediata

O setor aprende da maneira mais cara - enquanto alguns correm atrás de ganhos rápidos, criminosos digitais constroem infraestruturas mais sólidas que muitos projetos legítimos.

A Adspect se apresenta como um serviço baseado em nuvem que protege campanhas publicitárias.

De acordo com seu site , a Adspect anuncia um serviço baseado em nuvem projetado para proteger campanhas publicitárias de tráfego indesejado, incluindo fraudes de cliques e bots de empresas de antivírus. A empresa também afirma oferecer "camuflagem à prova de balas" e que "camufla com segurança todas as plataformas de publicidade".

Oferece três planos: Antifraude, Pessoal e Profissional, que custam US$ 299, US$ 499 e US$ 999 por mês, respectivamente. A empresa também afirma que os usuários podem anunciar “qualquer coisa que desejarem”, acrescentando que segue uma política sem perguntas: “Não nos importamos com o que você veicula e não aplicamos nenhuma regra de conteúdo”.

A pesquisadora de segurança da Socket, Olivia Brown, afirmou: “Ao visitar um site falso criado por um desses pacotes, o agente malicioso determina se o visitante é uma vítima ou um pesquisador de segurança. [...] Se o visitante for uma vítima, ele verá um CAPTCHA falso, que o levará a um site malicioso. Se for um pesquisador de segurança, apenas alguns indícios no site falso o alertarão de que algo suspeito pode estar acontecendo.”

A capacidade da AdSpect de bloquear as ações dos pesquisadores em seu navegador da web.

Desses pacotes, seis contêm um malware que se oculta e copia a impressão digital do sistema. Ele também tenta evitar análises bloqueando ações do desenvolvedor em um navegador da web, o que impede os pesquisadores de visualizar o código-fonte ou executar ferramentas de desenvolvimento.

Os pacotes exploram um recurso do JavaScript chamado "Expressão de Função Invocada Imediatamente (IIFE)". Ele permite que o código malicioso seja executado imediatamente após ser carregado no navegador da web. 

No entanto, o "signals-embed" não possui nenhuma funcionalidade maliciosa explícita e foi projetado para construir uma página branca falsa. As informações capturadas são então enviadas a um proxy ("association-google[.]xyz/adspect-proxy[.]php") para determinar se a origem do tráfego é de uma vítima ou de um pesquisador e, em seguida, exibir um CAPTCHA falso. 

Após a vítima clicar na caixa de seleção do CAPTCHA, ela é redirecionada para uma página falsa relacionada a criptomoedas que imita serviços como o StandX, provavelmente com o objetivo de roubar ativos digitais. Mas se os visitantes forem identificados como potenciais pesquisadores, uma página falsa em branco é exibida para os usuários. Ela também contém código HTML relacionado à política de privacidade de exibição associada a uma empresa falsa chamada Offlido.

Este relatório coincide com o relatório . Afirmou que a sua equipa do Amazon Inspector identificou dent reportou mais de 150.000 pacotes ligados a uma campanha coordenada de venda ilegal de tokens TEA no registo npm, que teve origem numa onda inicial detetada em abril de 2024.

“Este é um dos maiores incidentes de inundação de pacotes dent história dos registros de código aberto e representa um momento decisivo na segurança da cadeia de suprimentos”, defi os pesquisadores Chi Tran e Charlie Bacon . “Os agentes de ameaças matic para ganhar recompensas em criptomoedas sem o conhecimento do usuário, revelando como a campanha se expandiu exponencialmente desde sua identificação inicial dent ”

Reivindique seu lugar gratuito em uma comunidade exclusiva de negociação de criptomoedas - limitada a 1.000 membros.