行業新聞與部落格

網路安全專家發現了一種圍繞七個 NPM 包構建的新型惡意軟體攻擊活動。

Socket 威脅研究團隊觀察到的此次攻擊活動由名為 dino_reborn 的威脅行為者發起。該活動結合使用了偽裝工具、反分析控制措施和偽造的加密貨幣交易所驗證碼，以識別訪問者是潛在受害者還是安全研究人員。

其中六個軟體包包含幾乎相同的 39 KB 惡意軟體樣本，而第七個軟體包則構建了一個偽裝網頁。

這七個軟體包一直處於執行狀態，直到收到下架請求後才被列入安全保留名單。這些軟體包包括 signals-embed、dsidospsodlks、applicationooks21、application-phskck、integrator-filescrypt2025、integrator-2829 和 integrator-2830。

競選活動如何運作

每個惡意軟體包都透過即時函式執行器 (IIFE) 自動執行，並立即開始收集訪問裝置的詳細指紋資訊。收集的資料點共有 13 個，涵蓋使用者代理和語言設定等。這些資訊隨後透過代理轉發到 Adspect API，這是一種流量偽裝服務。

如果 Adspect API 判定訪問者是安全研究人員，則會顯示一個由靜態資源構成的“白頁”。如果它判定訪問者是受害者，則會顯示一個帶有 standx.com、jup.ag 或 uniswap.org 標識的偽造驗證碼。短暫延遲後，驗證碼會將受害者重定向到 Adspect 提供的惡意 URL。

閱讀更多關於加密貨幣威脅活動的資訊：英國國家犯罪調查局 (NCA) 發起新活動，警告男性遠離加密貨幣投資騙局

惡意軟體包和偽裝網頁透過共享容器 ID 進行通訊。Signals-embed 構建了研究人員看到的空白頁面，而惡意軟體內部的備用程式碼會在網路故障時重建一個帶有 Offlido 品牌標識的頁面。反分析功能會阻止右鍵單擊、F12 和 Ctrl+U 操作，並檢測到開啟的開發者工具，從而導致頁面重新載入。

本次活動的關鍵指標包括：

• 使用 /adspect-proxy.php 和 /adspect-file.php 路徑

• 禁用使用者互動的 JavaScript 程式碼

• 與 Adspect 流 ID 關聯的動態重定向

展望與防禦指導

Socket 研究人員表示，此次攻擊活動將開源分發與傳統惡意廣告操作技術相結合。由於 Adspect 每次請求都會返回新的重定向 URL，因此有效載荷可能會快速變化。 

安全專家警告說：“防禦者應該預料到，瀏覽器執行的開源軟體包中會繼續出現類似 Adspect 的偽裝和代理基礎設施濫用行為。這些策略很可能會以新的品牌偽裝和新的軟體包名稱再次出現。”

“Web 團隊應將禁用使用者互動或向不熟悉的 PHP 端點發布詳細客戶端指紋的意外指令碼視為立即出現的危險訊號。網路防禦人員應監控所有域中的 /adspect-proxy.php 和 /adspect-file.php 路徑，因為這些路徑是判斷攻擊者工具箱的可靠指標。”