网络安全研究人员揭露7个由单一威胁行为者发布的npm软件包，针对加密货币用户

网络安全研究人员揭露了由单一威胁行为者发布的七个npm软件包。这些软件包使用名为Adspect的隐藏服务来区分真实受害者和安全研究人员，最终将他们重定向到可疑的加密货币主题网站。

这些恶意npm软件包是由名为"dino_reborn"的威胁行为者在2025年9月至11月期间发布的。这些软件包包括signals-embed（342次下载）、dsidospsodlks（184次下载）、applicationooks21（340次下载）、application-phskck（199次下载）、integrator-filescrypt2025（199次下载）、integrator-2829（276次下载）和integrator-2830（290次下载）。

Adspect伪装成保护广告活动的云端服务

根据其网站介绍，Adspect宣传一种云端服务，旨在保护广告活动免受不必要的流量影响，包括点击欺诈和来自防病毒公司的机器人。它还声称提供"防弹隐藏功能"，并"可靠地隐藏每一个广告平台。"

它提供三种计划：反欺诈、个人和专业版，每月费用分别为299美元、499美元和999美元。该公司还声称用户可以"随心所欲地做广告"，并补充说它遵循不问问题的政策："我们不关心你运行什么，也不执行任何内容规则。"

Socket安全研究员Olivia Brown表示，"当访问由其中一个软件包构建的虚假网站时，威胁行为者会判断访问者是受害者还是安全研究人员[...]如果访问者是受害者，他们会看到一个假的验证码，最终将他们带到恶意网站。如果他们是安全研究人员，虚假网站上只有几个迹象会提示他们可能正在发生一些不良行为。"

AdSpect能够在其网络浏览器中阻止研究人员的操作

在这些软件包中，有六个包含39kB的恶意软件，它会隐藏自己并复制系统的指纹。它还试图通过阻止网络浏览器中的开发者操作来逃避分析，这阻止了研究人员查看源代码或启动开发者工具。

这些软件包利用了一种名为"立即调用函数表达式（IIFE）"的JavaScript功能。它允许恶意代码在网络浏览器加载时立即执行。 

然而， "signals-embed"并没有任何直接的恶意功能，它被设计用来构建一个诱饵白页。捕获的信息随后被发送到代理（"association-google[.]xyz/adspect-proxy[.]php"）以确定流量来源是受害者还是研究人员，然后提供一个假的验证码。 

当受害者点击验证码复选框后，他们会被重定向到一个冒充StandX等服务的虚假加密货币相关页面，其可能目的是窃取数字资产。但如果访问者被标记为潜在研究人员，用户将看到一个白色假页面。它还包含与名为Offlido的虚假公司相关的显示隐私政策的HTML代码。

这份报告与亚马逊网络服务的报告相吻合。该报告指出，其亚马逊检查员团队已识别并报告了超过150,000个与npm注册表中协调的TEA代币挖矿活动相关的软件包，这些活动源于2024年4月检测到的初始浪潮。

"这是开源注册表历史上最大的软件包泛滥事件之一，代表了供应链安全的一个决定性时刻，"研究人员Chi Tran和Charlie Bacon表示。"威胁行为者自动生成并发布软件包以赚取加密货币奖励，而用户对此毫不知情，这揭示了该活动自最初识别以来呈指数级扩展。"

想让您的项目展现在加密货币顶尖人才面前吗？在我们的下一份行业报告中展示它，数据与影响力在此交汇。