行业新闻与博客

网络安全专家发现了一种围绕七个 NPM 包构建的新型恶意软件攻击活动。

Socket 威胁研究团队观察到的此次攻击活动由名为 dino_reborn 的威胁行为者发起。该活动结合使用了伪装工具、反分析控制措施和伪造的加密货币交易所验证码，以识别访问者是潜在受害者还是安全研究人员。

其中六个软件包包含几乎相同的 39 KB 恶意软件样本，而第七个软件包则构建了一个伪装网页。

这七个软件包一直处于运行状态，直到收到下架请求后才被列入安全保留名单。这些软件包包括 signals-embed、dsidospsodlks、applicationooks21、application-phskck、integrator-filescrypt2025、integrator-2829 和 integrator-2830。

竞选活动如何运作

每个恶意软件包都通过即时函数执行器 (IIFE) 自动执行，并立即开始收集访问设备的详细指纹信息。收集的数据点共有 13 个，涵盖用户代理和语言设置等。这些信息随后通过代理转发到 Adspect API，这是一种流量伪装服务。

如果 Adspect API 判定访问者是安全研究人员，则会显示一个由静态资源构成的“白页”。如果它判定访问者是受害者，则会显示一个带有 standx.com、jup.ag 或 uniswap.org 标识的伪造验证码。短暂延迟后，验证码会将受害者重定向到 Adspect 提供的恶意 URL。

阅读更多关于加密货币威胁活动的信息：英国国家犯罪调查局 (NCA) 发起新活动，警告男性远离加密货币投资骗局

恶意软件包和伪装网页通过共享容器 ID 进行通信。Signals-embed 构建了研究人员看到的空白页面，而恶意软件内部的备用代码会在网络故障时重建一个带有 Offlido 品牌标识的页面。反分析功能会阻止右键单击、F12 和 Ctrl+U 操作，并检测到打开的开发者工具，从而导致页面重新加载。

本次活动的关键指标包括：

• 使用 /adspect-proxy.php 和 /adspect-file.php 路径

• 禁用用户交互的 JavaScript 代码

• 与 Adspect 流 ID 关联的动态重定向

展望与防御指导

Socket 研究人员表示，此次攻击活动将开源分发与传统恶意广告操作技术相结合。由于 Adspect 每次请求都会返回新的重定向 URL，因此有效载荷可能会快速变化。 

安全专家警告说：“防御者应该预料到，浏览器执行的开源软件包中会继续出现类似 Adspect 的伪装和代理基础设施滥用行为。这些策略很可能会以新的品牌伪装和新的软件包名称再次出现。”

“Web 团队应将禁用用户交互或向不熟悉的 PHP 端点发布详细客户端指纹的意外脚本视为立即出现的危险信号。网络防御人员应监控所有域中的 /adspect-proxy.php 和 /adspect-file.php 路径，因为这些路径是判断攻击者工具箱的可靠指标。”