Investigadores de ciberseguridad revelan 7 paquetes npm publicados por un único actor de amenazas dirigidos a usuarios de cripto

Los investigadores de ciberseguridad han revelado un conjunto de siete paquetes npm publicados por un único actor de amenazas. Estos paquetes utilizan un servicio de ocultamiento llamado Adspect para distinguir entre víctimas reales e investigadores de seguridad, redireccionándolos finalmente a sitios sospechosos relacionados con criptomonedas.

Los paquetes npm maliciosos fueron publicados por un actor de amenazas llamado "dino_reborn" entre septiembre y noviembre de 2025. Los paquetes incluyen signals-embed (342 descargas), dsidospsodlks (184 descargas), applicationooks21 (340 descargas), application-phskck (199 descargas), integrator-filescrypt2025 (199 descargas), integrator-2829 (276 descargas), e integrator-2830 (290 descargas).

Adspect se presenta como un servicio basado en la nube que protege campañas publicitarias

Según su sitio web, Adspect anuncia un servicio basado en la computación en la nube diseñado para proteger campañas publicitarias del tráfico no deseado, incluido el fraude de clics y los bots de empresas antivirus. También afirma ofrecer "ocultamiento a prueba de balas" y que "oculta de manera confiable todas y cada una de las plataformas publicitarias".

Ofrece tres planes: Ant-Fraud, Personal y Professional, que cuestan $299, $499 y $999 por mes. La empresa también afirma que los usuarios pueden anunciar "cualquier cosa que deseen", añadiendo que sigue una política de no hacer preguntas: no nos importa lo que ejecutes y no imponemos ninguna regla de contenido".

La investigadora de seguridad de Socket, Olivia Brown, declaró: "Al visitar un sitio web falso construido por uno de los paquetes, el actor de la amenaza determina si el visitante es una víctima o un investigador de seguridad [...] Si el visitante es una víctima, ve un CAPTCHA falso, que eventualmente lo lleva a un sitio malicioso. Si es un investigador de seguridad, solo unos pocos indicios en el sitio web falso les alertarían de que algo nefasto puede estar ocurriendo".

La capacidad de AdSpect para bloquear las acciones de los investigadores en su navegador web

De estos paquetes, seis tienen una pieza de malware de 39kB que se oculta y hace una copia de la huella digital del sistema. También intenta evadir el análisis bloqueando las acciones del desarrollador en un navegador web, lo que impide que los investigadores vean el código fuente o lancen herramientas de desarrollo.

Los paquetes aprovechan una característica de JavaScript llamada "Expresión de Función Inmediatamente Invocada (IIFE)". Permite que el código malicioso se ejecute inmediatamente al cargarlo en el navegador web. 

Sin embargo,  "signals-embed" no tiene ninguna funcionalidad maliciosa directa y está diseñado para construir una página blanca señuelo. La información capturada se envía luego a un proxy ("association-google[.]xyz/adspect-proxy[.]php") para determinar si la fuente de tráfico proviene de una víctima o de un investigador, y luego mostrar un CAPTCHA falso. 

Después de que la víctima hace clic en la casilla CAPTCHA, es redirigida a una página falsa relacionada con criptomonedas que suplanta servicios como StandX, con el probable objetivo de robar activos digitales. Pero si los visitantes son marcados como posibles investigadores, se les muestra una página blanca falsa. También presenta código HTML relacionado con la política de privacidad asociada a una empresa falsa llamada Offlido.

Este informe coincide con el informe de Amazon Web Services. Indicó que su equipo de Amazon Inspector identificó y reportó más de 150.000 paquetes vinculados a una campaña coordinada de farming de tokens TEA en el registro npm que tiene sus orígenes en una ola inicial que fue detectada en abril de 2024.

"Este es uno de los incidentes más grandes de inundación de paquetes en la historia del registro de código abierto, y representa un momento decisivo en la seguridad de la cadena de suministro", dijeron los investigadores Chi Tran y Charlie Bacon. "Los actores de amenazas generan y publican automáticamente paquetes para ganar recompensas en criptomonedas sin el conocimiento del usuario, revelando cómo la campaña se ha expandido exponencialmente desde su identificación inicial".

¿Quieres que tu proyecto esté frente a las mentes más brillantes del mundo cripto? Preséntalo en nuestro próximo informe de la industria, donde los datos se encuentran con el impacto.