Investigadores de ciberseguridad han revelado un conjunto de siete paquetes npm publicados por un único actor malicioso. Estos paquetes utilizan un servicio de ocultación llamado Adspect para distinguir entre víctimas reales e investigadores de seguridad, redirigiéndolos finalmente a sitios web sospechosos relacionados con criptomonedas.
Los paquetes npm maliciosos fueron publicados por un actor de amenazas llamado “dino_reborn” entre septiembre y noviembre de 2025. Los paquetes incluyen signals-embed (342 descargas), dsidospsodlks (184 descargas), applicationooks21 (340 descargas), application-phskck (199 descargas), integrator-filescrypt2025 (199 descargas), integrator-2829 (276 descargas) e integrator-2830 (290 descargas).
Adspect se presenta como un servicio basado en la nube que protege las campañas publicitarias.
Según su sitio web , Adspect anuncia un servicio en la nube diseñado para proteger las campañas publicitarias del tráfico no deseado, incluyendo el fraude de clics y los bots de las empresas antivirus. También afirma ofrecer un enmascaramiento infalible y que enmascara de forma fiable todas y cada una de las plataformas publicitarias.
Ofrece tres planes: Antifraude, Personal y Profesional, con precios de 299, 499 y 999 dólares al mes, respectivamente. La empresa afirma que los usuarios pueden anunciar «lo que quieran» y añade que su política es de «sin preguntas»: «No nos importa lo que publiques ni imponemos normas de contenido».
La investigadora de seguridad de Socket, Olivia Brown, afirmó: “Al visitar un sitio web falso creado con uno de estos programas, el atacante determina si el visitante es una víctima o un investigador de seguridad. Si el visitante es una víctima, verá un CAPTCHA falso que, finalmente, lo redirigirá a un sitio malicioso. Si es un investigador de seguridad, solo unas pocas señales en el sitio web falso le alertarán de que algo sospechoso podría estar ocurriendo”.
La capacidad de AdSpect para bloquear las acciones de los investigadores en su navegador web
De estos paquetes, seis contienen un malware que se oculta y copia la huella digital del sistema. Además, intenta evadir el análisis bloqueando las acciones del desarrollador en el navegador web, lo que impide a los investigadores ver el código fuente o ejecutar las herramientas de desarrollo.
Los paquetes aprovechan una característica de JavaScript llamada “Expresión de función invocada inmediatamente (IIFE)”. Esto permite que el código malicioso se ejecute inmediatamente después de cargarlo en el navegador web.
Sin embargo, «signals-embed» no tiene ninguna funcionalidad maliciosa explícita y está diseñado para crear una página blanca señuelo. La información capturada se envía a un proxy («association-google[.]xyz/adspect-proxy[.]php») para determinar si el tráfico proviene de una víctima o de un investigador, y luego se muestra un CAPTCHA falso.
Tras marcar la casilla CAPTCHA, la víctima es redirigida a una página fraudulenta relacionada con criptomonedas que suplanta servicios como StandX, con el probable objetivo de robar activos digitales. Si los visitantes son identificados como posibles investigadores, se les muestra una página falsa en blanco. Esta página también incluye código HTML relacionado con la política de privacidad de una empresa ficticia llamada Offlido.
Este informe coincide con el informe . En él se afirma que su equipo de Amazon Inspector identificó dent informó sobre más de 150.000 paquetes vinculados a una campaña coordinada de obtención de tokens TEA en el registro npm, cuyo origen se remonta a una primera oleada detectada en abril de 2024.
«Este es uno de los mayores incidentes de inundación de paquetes dent la historia de los registros de código abierto y representa un momento decisivo en la seguridad de la cadena de suministro», defi los investigadores Chi Tran y Charlie Bacon . «Los ciberdelincuentes matic paquetes para obtener recompensas en criptomonedas sin que los usuarios lo sepan, lo que revela cómo la campaña se ha expandido exponencialmente desde su identificación inicial dent .
Únase a una comunidad premium de comercio de criptomonedas gratis durante 30 días (normalmente $100/mes).
