行業新聞與博客

網絡安全專家發現了一種圍繞七個 NPM 包構建的新型惡意軟件攻擊活動。

Socket 威脅研究團隊觀察到的此次攻擊活動由名為 dino_reborn 的威脅行為者發起。該活動結合使用了偽裝工具、反分析控制措施和偽造的加密貨幣交易所驗證碼，以識別訪問者是潛在受害者還是安全研究人員。

其中六個軟件包包含幾乎相同的 39 KB 惡意軟件樣本，而第七個軟件包則構建了一個偽裝網頁。

這七個軟件包一直處於運行狀態，直到收到下架請求後才被列入安全保留名單。這些軟件包包括 signals-embed、dsidospsodlks、applicationooks21、application-phskck、integrator-filescrypt2025、integrator-2829 和 integrator-2830。

競選活動如何運作

每個惡意軟件包都通過即時函數執行器 (IIFE) 自動執行，並立即開始收集訪問設備的詳細指紋信息。收集的數據點共有 13 個，涵蓋用户代理和語言設置等。這些信息隨後通過代理轉發到 Adspect API，這是一種流量偽裝服務。

如果 Adspect API 判定訪問者是安全研究人員，則會顯示一個由靜態資源構成的“白頁”。如果它判定訪問者是受害者，則會顯示一個帶有 standx.com、jup.ag 或 uniswap.org 標識的偽造驗證碼。短暫延遲後，驗證碼會將受害者重定向到 Adspect 提供的惡意 URL。

閲讀更多關於加密貨幣威脅活動的信息：英國國家犯罪調查局 (NCA) 發起新活動，警告男性遠離加密貨幣投資騙局

惡意軟件包和偽裝網頁通過共享容器 ID 進行通信。Signals-embed 構建了研究人員看到的空白頁面，而惡意軟件內部的備用代碼會在網絡故障時重建一個帶有 Offlido 品牌標識的頁面。反分析功能會阻止右鍵單擊、F12 和 Ctrl+U 操作，並檢測到打開的開發者工具，從而導致頁面重新加載。

本次活動的關鍵指標包括：

• 使用 /adspect-proxy.php 和 /adspect-file.php 路徑

• 禁用用户交互的 JavaScript 代碼

• 與 Adspect 流 ID 關聯的動態重定向

展望與防禦指導

Socket 研究人員表示，此次攻擊活動將開源分發與傳統惡意廣告操作技術相結合。由於 Adspect 每次請求都會返回新的重定向 URL，因此有效載荷可能會快速變化。 

安全專家警告説：“防禦者應該預料到，瀏覽器執行的開源軟件包中會繼續出現類似 Adspect 的偽裝和代理基礎設施濫用行為。這些策略很可能會以新的品牌偽裝和新的軟件包名稱再次出現。”

“Web 團隊應將禁用用户交互或向不熟悉的 PHP 端點發布詳細客户端指紋的意外腳本視為立即出現的危險信號。網絡防禦人員應監控所有域中的 /adspect-proxy.php 和 /adspect-file.php 路徑，因為這些路徑是判斷攻擊者工具箱的可靠指標。”