Злонамерни NPM пакети го злоупотребуваат Adspect за пренасочување и избегнување на безбедносни системи

Седум пакети објавени на регистарот на Node Package Manager (npm) ја користат облачната услуга Adspect за да ги одвојат истражувачите од потенцијалните жртви и да ги пренасочат кон злонамерни локации.

Целта на нападот е да ги одведе жртвите до измамнички страници за криптовалути, според анализата на истражувачите од компанијата за безбедност на апликации Socket.

Сите злонамерни пакети биле објавени под името на развивачот ‘dino_reborn’ (geneboo@proton[.]me) во периодот од септември до ноември. Сепак, шест од нив содржат злонамерен код, додека седмиот се користи за креирање злонамерна веб-страница:

• signals-embed
• dsidospsodlks
• applicationooks21
• application-phskck
• integrator-filescrypt2025
• integrator-2829
• integrator-2830

Истражувачите велат дека signals-embed не е по природа злонамерен и содржи само код за креирање бела лажна веб-страница. Останатите шест имаат код што собира податоци за посетителите за да утврди дали сообраќајот доаѓа од истражувач или од потенцијална жртва.

Ова се постигнува со собирање информации од околината на прелистувачот, како идентификатори на прелистувачот, податоци за страницата и URL-то, хост и име на хост на тековната страница, и ги подготвува за испраќање до API-то на Adspect.

Adspect прикривање

Шесте злонамерни пакети содржат 39kB код кој го вклучува механизмот за прикривање, забележуваат истражувачите од Socket, додавајќи дека кодот се извршува автоматски при вчитување на страницата без дополнителна акција од корисникот, поради тоа што е обвиткан во Immediately Invoked Function Expression (IIFE).

Нападот се активира кога веб-апликацијата на компромитираниот развивач го вчитува злонамерниот JavaScript во прелистувач.

Според Socket, инјектираниот код содржи анти-аналитички функции како блокирање на десен клик, F12, Ctrl+U, Ctrl+Shift+I, како и обновување на страницата доколку се открие DevTools. Ова го отежнува прегледувањето на веб-страницата од страна на безбедносните истражувачи.

Скриптата ги собира корисничкиот агент на посетителот, хостот, реферерот, URI-то, query string-от, протоколот, јазикот, енкодирањето, временската ознака и прифатените типови содржини, и ги испраќа собраните податоци (fingerprinting) до прокси серверот на заканувачот.

Вистинската IP адреса на жртвата се добива и се проследува до Adspect API-то, кое потоа ги оценува податоците за да го класифицира посетителот.

Посетителите кои се квалификуваат како цели се пренасочуваат кон лажна CAPTCHA страница со криптовалутен бренд (Ethereum, Solana), што активира измамничка секвенца која отвора URL дефиниран од Adspect во ново јазиче, маскирајќи го како акција иницирана од корисник.

Ако посетителите бидат означени како потенцијални истражувачи, се вчитува лажна, но безопасна страница на компанијата Offlido со цел да се намали сомнежот.

Adspect се рекламира како облачна услуга која филтрира неовластен пристап до веб-страница, блокирајќи ботови и злонамерни актери и дозволувајќи пристап само за легитимни корисници.

BleepingComputer ја контактираше компанијата за да утврди дали се свесни за злоупотребата и кои механизми се поставени за да ја спречат, но до моментот на објавување немаме добиено одговор.

Извори:

• Bleeping Computer – Malicious NPM packages abuse Adspect redirects to evade security Bleeping Computer