Исследователи из компании Socket обнаружили в npm семь вредоносных пакетов, которые используют облачный сервис Adspect для маскировки своей активности и пытаются направить жертв на криптомошеннические сайты.
Официально Adspect позиционируется как инструмент для защиты сайтов от ботов. Однако, как показывает эта кампания, сервис может использоваться в противоположных целях — чтобы скрыть вредоносную активность.
Все обнаруженные специалистами пакеты были опубликованы с сентября по ноябрь 2025 года разработчиком под ником dino_reborn (geneboo@proton[.]me). Шесть из них содержали вредоносный код (собирающий данные о пользователях, чтобы определить, исходит ли трафик от исследователя или от потенциальной жертвы), а седьмой (signals-embed) использовался для создания страницы-приманки:
- signals-embed;
- dsidospsodlks;
- applicationooks21;
- application-phskck;
- integrator-filescrypt2025;
- integrator-2829;
- integrator-2830.
Вредоносная часть кода представляла собой примерно 39 КБ JavaScript. Код запускался автоматически сразу после загрузки страницы, благодаря IIFE (Immediately Invoked Function Expression). Таким образом, если разработчик включал вредоносный пакет в свое веб-приложение, вредоносный скрипт загружался через браузер.
Отмечается, что вредоносный код активно противостоял анализу: блокировал правый клик, F12, а также комбинации клавиш Ctrl+U и Ctrl+Shift+I, а при обнаружении DevTools просто перезагружал страницу. Параллельно малварь осуществляла фингерпринтинг, собирая информацию о user agent, языке, протоколе, хосте и реферере, URI, параметрах запроса, кодировке и так далее. Все эти данные передавались прокси злоумышленников, а реальный IP жертвы — в API Adspect.
Если пользователь подходил под критерии злоумышленников, его перенаправляли на фальшивую CAPTCHA-страницу с логотипами Ethereum или Solana. Это запускало мошенническую последовательность, которая открывала определенный URL-адрес Adspect в новой вкладке, маскируя это под действие, инициированное пользователем.
Если же скрипт считал, что страницу изучает ИБ-исследователь, загружалась поддельная, но безобидная страница компании Offlido.
После публикации отчета специалистов все семь вредоносных пакетов были удалены из npm.
