Sólo texto | Texto con Imágenes

Underc0de - La Casa de los Informáticos

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Noviembre 18, 2025, 09:10:15 PM

Título: Detectan 7 paquetes npm maliciosos con Adspect
Publicado por: Dragora en Noviembre 18, 2025, 09:10:15 PM
(https://i.imgur.com/FtyIyzD.jpeg)

La cadena de suministro de JavaScript vuelve a quedar bajo alerta tras el descubrimiento de siete paquetes npm maliciosos, todos publicados por un solo actor amenazante que empleó Adspect, un servicio especializado en camuflaje diseñado para diferenciar entre víctimas reales e investigadores de seguridad. El objetivo final: redirigir a los usuarios a páginas maliciosas con temática criptográfica, capaces de engañar, robar información o conducir a fraudes financieros.

El hallazgo, realizado por investigadores de Socket, expone una campaña silenciosa pero sofisticada que estuvo activa entre septiembre y noviembre de 2025, período durante el cual los paquetes fueron descargados cientos de veces por desarrolladores confiados en el ecosistema de código abierto.

Los siete paquetes maliciosos detectados en npm

Los paquetes fueron publicados por un usuario identificado como "dino_reborn", cuya cuenta ya ha sido eliminada de npm. Las descargas acumuladas durante el tiempo que estuvieron disponibles son significativas:


Si bien todos formaban parte de la campaña, no todos tenían la misma funcionalidad maliciosa. Seis de ellos contenían un malware de 39 kB, mientras que señales-embed actuaba únicamente como página señuelo.

Un ataque diseñado para diferenciar víctimas de investigadores

La investigadora de seguridad Olivia Brown explicó que los paquetes maliciosos construyen un sitio web falso encargado de evaluar al visitante:

Citar"Si el visitante es una víctima, verá un CAPTCHA falso que ultimately redirige a un sitio malicioso. Si es un investigador, encontrará señales sutiles que dejan en evidencia que algo sospechoso está ocurriendo".

Este mecanismo selectivo es crítico porque permite que el actor evite la detección automática, los análisis estáticos y las inspecciones manuales por parte de expertos en ciberseguridad.

Cómo funciona el malware: camuflaje, bloqueo de herramientas y huella digital

Los paquetes maliciosos hacen uso de una técnica de JavaScript conocida como IIFE (Expresión de Función Invocada Inmediatamente), que ejecuta el malware en cuanto el archivo es importado o cargado en el navegador por un desarrollador. No requiere interacción del usuario, lo que lo vuelve aún más peligroso.

Dentro de los seis paquetes infectados se encontró un módulo de 39 kB que:

1. Captura una completa huella digital del sistema

Recolecta información sobre el navegador, la actividad, el entorno de ejecución y otros datos relevantes para identificar al visitante.

2. Bloquea herramientas y paneles de análisis

El malware activa mecanismos anti-investigación que impiden:


Esto deja a los analistas sin visibilidad sobre la actividad real del paquete, dificultando investigaciones o ingeniería inversa.

3. Envía la información a un proxy controlado por el atacante

Todos los datos se transmiten hacia un dominio utilizado como proxy:

association-google[.]xyz/adspect-proxy[.]php

Desde ahí, Adspect determina si se trata de tráfico legítimo (una víctima) o tráfico sospechoso (un analista o bot de seguridad).

El papel de Adspect: camuflaje avanzado al servicio de los ciberdelincuentes

Adspect es un servicio basado en la nube que afirma proteger campañas publicitarias del fraude por clics, bots y tráfico no deseado, pero también ofrece capacidades preocupantes:


Entre sus planes destacan:


La plataforma parece atraer a actores con intenciones maliciosas, ya que ofrece herramientas para ocultar campañas sospechosas y manipular el tráfico hacia sitios fraudulentos.

CitarSocket destacó que la integración de Adspect dentro de paquetes npm es altamente inusual:

"Esto fusiona camuflaje de tráfico, controles anti-investigación y distribución mediante código abierto. Al incrustar Adspect en npm, el actor puede automatizar la decisión de a qué visitantes exponer cargas útiles reales."

Redirección a estafas criptográficas tras el falso CAPTCHA

Si Adspect determina que el visitante es una víctima real, se muestra un CAPTCHA falso, que al ser clicado redirige hacia una página fraudulenta relacionada con criptomonedas, disfrazada como servicios legítimos como "StandX".

El propósito es claro:
engañar a usuarios desprevenidos y robar activos digitales o credenciales relacionadas con wallets y plataformas cripto.

Si el visitante parece un analista, el sistema carga simplemente una página blanca junto con fragmentos de HTML referentes a la política de privacidad de una compañía inexistente llamada Offlido, actuando como fachada.

Una amenaza avanzada dentro de la cadena de suministro de JavaScript

Este caso representa una evolución significativa en los ataques a la cadena de suministro:


Para los desarrolladores, esto refuerza la necesidad de auditar dependencias, usar herramientas de análisis de comportamiento y optar por repositorios confiables.

En fin...un ataque silencioso, sigiloso y altamente sofisticado

La campaña de "dino_reborn" demuestra hasta qué punto los atacantes están dispuestos a combinar servicios comerciales de camuflaje con malware basado en JavaScript para explotar la cadena de suministro. El uso de Adspect marca un salto cualitativo en la evasión de análisis y en la capacidad de dirigir ataques altamente selectivos.

Mientras el ecosistema npm sigue creciendo, también aumentan los riesgos, lo que obliga a la comunidad a reforzar la vigilancia, considerar alternativas de control y promover herramientas de detección más robustas.

Fuente: https://thehackernews.com/
Sólo texto | Texto con Imágenes