Les chercheurs en cybersécurité révèlent 7 packages npm publiés par un seul acteur malveillant ciblant les utilisateurs de crypto

Des chercheurs en cybersécurité ont révélé un ensemble de sept packages npm publiés par un seul acteur malveillant. Ces packages utilisent un service de dissimulation appelé Adspect pour distinguer les vraies victimes des chercheurs en sécurité, les redirigeant finalement vers des sites douteux à thème crypto.

Les packages npm malveillants ont été publiés par un acteur malveillant nommé "dino_reborn" entre septembre et novembre 2025. Les packages comprennent signals-embed (342 téléchargements), dsidospsodlks (184 téléchargements), applicationooks21 (340 téléchargements), application-phskck (199 téléchargements), integrator-filescrypt2025 (199 téléchargements), integrator-2829 (276 téléchargements), et integrator-2830 (290 téléchargements).

Adspect se présente comme un service cloud qui protège les campagnes publicitaires

Selon son site web, Adspect fait la publicité d'un service cloud conçu pour protéger les campagnes publicitaires contre le trafic indésirable, y compris la fraude aux clics et les bots des entreprises antivirus. Il prétend également offrir une "dissimulation à toute épreuve" et qu'il "dissimule de manière fiable chaque plateforme publicitaire."

Il propose trois formules : Ant-Fraud, Personal et Professional, qui coûtent respectivement 299$, 499$ et 999$ par mois. L'entreprise affirme également que les utilisateurs peuvent faire de la publicité pour "tout ce qu'ils veulent", ajoutant qu'elle suit une politique sans questions : nous ne nous soucions pas de ce que vous exécutez et n'appliquons aucune règle de contenu."

La chercheuse en sécurité de Socket, Olivia Brown, a déclaré : "En visitant un faux site web construit par l'un des packages, l'acteur malveillant détermine si le visiteur est une victime ou un chercheur en sécurité [...] Si le visiteur est une victime, il voit un faux CAPTCHA, qui le conduit finalement à un site malveillant. S'il s'agit d'un chercheur en sécurité, seuls quelques indices sur le faux site web lui indiqueraient que quelque chose de néfaste pourrait se produire."

La capacité d'AdSpect à bloquer les actions des chercheurs dans son navigateur web

Parmi ces packages, six contiennent un logiciel malveillant de 39 ko qui se cache et fait une copie de l'empreinte digitale du système. Il tente également d'échapper à l'analyse en bloquant les actions des développeurs dans un navigateur web, ce qui empêche les chercheurs de visualiser le code source ou de lancer des outils de développement.

Les packages exploitent une fonctionnalité JavaScript appelée "Immediately Invoked Function Expression (IIFE)". Elle permet au code malveillant d'être exécuté immédiatement lors de son chargement dans le navigateur web. 

Cependant,  "signals-embed" ne présente pas de fonctionnalité malveillante directe et est conçu pour construire une page blanche leurre. Les informations capturées sont ensuite envoyées à un proxy ("association-google[.]xyz/adspect-proxy[.]php") pour déterminer si la source du trafic provient d'une victime ou d'un chercheur, puis afficher un faux CAPTCHA. 

Après que la victime ait cliqué sur la case CAPTCHA, elle est redirigée vers une fausse page liée aux cryptomonnaies qui usurpe l'identité de services comme StandX, dans le but probable de voler des actifs numériques. Mais si les visiteurs sont signalés comme des chercheurs potentiels, une fausse page blanche est affichée aux utilisateurs. Elle comporte également du code HTML lié à l'affichage de la politique de confidentialité associée à une fausse entreprise nommée Offlido.

Ce rapport coïncide avec le rapport d'Amazon Web Services. Il indique que son équipe Amazon Inspector a identifié et signalé plus de 150 000 packages liés à une campagne coordonnée de farming de tokens TEA dans le registre npm, qui trouve son origine dans une vague initiale détectée en avril 2024.

"Il s'agit de l'un des plus grands incidents d'inondation de packages dans l'histoire des registres open source, et représente un moment décisif dans la sécurité de la chaîne d'approvisionnement," ont déclaré les chercheurs Chi Tran et Charlie Bacon. "Les acteurs malveillants génèrent et publient automatiquement des packages pour gagner des récompenses en cryptomonnaie sans que les utilisateurs en soient conscients, révélant comment la campagne s'est développée de façon exponentielle depuis son identification initiale."

Vous voulez que votre projet soit présenté aux meilleurs esprits de la crypto ? Présentez-le dans notre prochain rapport industriel, où les données rencontrent l'impact.