VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một bộ bảy gói npm do một tác nhân đe dọa duy nhất phát hành, tận dụng dịch vụ che giấu có tên Adspect để phân biệt giữa nạn nhân thực sự và các nhà nghiên cứu bảo mật nhằm chuyển hướng họ đến các trang web có chủ đề về tiền điện tử đáng ngờ.

Các gói npm độc hại, được phát hành bởi một tác nhân đe dọa có tên " dino_reborn " từ tháng 9 đến tháng 11 năm 2025, được liệt kê bên dưới. Tài khoản npm không còn tồn tại trên npm tại thời điểm viết bài.

    signals-embed (342 lượt tải xuống)
    dsidospsodlks (184 lượt tải xuống)
    applicationooks21 (340 lượt tải xuống)
    application-phskck (199 lượt tải xuống)
    integrator-filescrypt2025 (199 lượt tải xuống)
    integrator-2829 (276 lượt tải xuống)
    integrator-2830 (290 lượt tải xuống)

Nhà nghiên cứu bảo mật Olivia Brown của Socket cho biết: "Khi truy cập vào một trang web giả mạo được xây dựng bởi một trong các gói phần mềm, kẻ tấn công sẽ xác định xem khách truy cập là nạn nhân hay nhà nghiên cứu bảo mật".

"Nếu người truy cập là nạn nhân, họ sẽ thấy một CAPTCHA giả mạo, cuối cùng dẫn họ đến một trang web độc hại. Nếu họ là một nhà nghiên cứu bảo mật, chỉ cần một vài dấu hiệu trên trang web giả mạo cũng đủ để họ nhận ra điều gì đó bất chính đang xảy ra."

Trong số các gói này, sáu gói chứa phần mềm độc hại 39kB kết hợp cơ chế che giấu và ghi lại dấu vân tay của hệ thống, đồng thời thực hiện các bước để tránh phân tích bằng cách chặn các hành động của nhà phát triển trong trình duyệt web, ngăn chặn hiệu quả các nhà nghiên cứu xem mã nguồn hoặc khởi chạy các công cụ dành cho nhà phát triển.


Các gói này tận dụng một tính năng JavaScript gọi là Biểu thức Hàm Gọi Ngay ( IIFE ), cho phép mã độc được thực thi ngay lập tức khi tải lên trình duyệt web. Ngược lại, "signals-embed" không chứa bất kỳ chức năng độc hại nào và được thiết kế để tạo ra một trang trắng giả mạo.

Brown nói với The Hacker News rằng mã độc sẽ được thực thi ngay khi nhà phát triển nhập gói và tệp JavaScript được tải vào trình duyệt hoặc môi trường. Nó không yêu cầu bất kỳ tương tác nào của người dùng để kích hoạt hành vi.

Thông tin thu thập được sẽ được gửi đến một proxy ("association-google[.]xyz/adspect-proxy[.]php") để xác định nguồn lưu lượng truy cập đến từ nạn nhân hay nhà nghiên cứu, sau đó hiển thị một CAPTCHA giả mạo. Khi nạn nhân nhấp vào ô CAPTCHA, họ sẽ được chuyển đến một trang web giả mạo liên quan đến tiền điện tử, mạo danh các dịch vụ như StandX với mục đích có thể là đánh cắp tài sản kỹ thuật số.

Tuy nhiên, nếu người dùng bị gắn cờ là nhà nghiên cứu tiềm năng, một trang giả mạo màu trắng sẽ được hiển thị cho người dùng. Trang này cũng chứa mã HTML liên quan đến chính sách bảo mật hiển thị của một công ty giả mạo tên là Offlido.

Theo trang web của Adspect, họ quảng cáo một dịch vụ đám mây được thiết kế để bảo vệ các chiến dịch quảng cáo khỏi lưu lượng truy cập không mong muốn, chẳng hạn như gian lận nhấp chuột và bot từ các công ty diệt virus. Adspect cũng tuyên bố cung cấp "công nghệ che giấu chống đạn" và "che giấu đáng tin cậy mọi nền tảng quảng cáo".

Công ty cung cấp ba gói: Chống gian lận, Cá nhân và Chuyên nghiệp với mức giá lần lượt là 299 đô la, 499 đô la và 999 đô la mỗi tháng. Công ty cũng tuyên bố người dùng có thể quảng cáo "bất cứ điều gì bạn muốn", đồng thời cam kết tuân thủ chính sách "không cần hỏi han": chúng tôi không quan tâm bạn chạy quảng cáo gì và không áp đặt bất kỳ quy tắc nội dung nào.

"Việc sử dụng Adspect cloaking trong các gói chuỗi cung ứng npm rất hiếm", Socket cho biết. "Đây là một nỗ lực nhằm kết hợp việc che giấu lưu lượng, kiểm soát chống nghiên cứu và phân phối mã nguồn mở. Bằng cách nhúng logic Adspect vào các gói npm, kẻ tấn công có thể phân phối một bộ công cụ kiểm soát lưu lượng độc lập, tự động quyết định những khách truy cập nào sẽ được tiếp cận với các payload thực sự."