Los investigadores de ciberseguridad tienen descubierto un conjunto de siete paquetes npm publicados por un único actor de amenazas que aprovecha un servicio de ocultamiento llamado Adspect para diferenciar entre las víctimas reales y los investigadores de seguridad y, en última instancia, redirigirlas a sitios web incompletos con temática criptográfica.
Los paquetes npm maliciosos, publicados por un actor de amenazas llamado» dinosau_renacido «entre septiembre y noviembre de 2025, se enumeran a continuación. La cuenta npm ya no existe en npm al momento de escribir este artículo.
- signals-embed (342 descargas)
- dsidospsodlks (184 descargas)
- applicationooks21 (340 descargas)
- application-phskck (199 descargas)
- integrator-filescrypt2025 (199 descargas)
- integrator-2829 (276 descargas)
- integrator-2830 (290 descargas)
«Al visitar un sitio web falso creado por uno de los paquetes, el actor de la amenaza determina si el visitante es una víctima o un investigador de seguridad», dijo Olivia Brown, investigadora de seguridad de Socket.
«Si el visitante es una víctima, ve un CAPTCHA falso y, finalmente, lo lleva a un sitio malicioso. Si se trata de un investigador de seguridad, solo unos pocos indicios en el sitio web falso podrían avisarles de que puede estar ocurriendo algo nefasto».
De estos paquetes, seis contienen un malware de 39 KB que incorpora el mecanismo de ocultación y captura una huella digital del sistema, al tiempo que toma medidas para eludir el análisis bloqueando las acciones de los desarrolladores en un navegador web, lo que impide de forma efectiva que los investigadores vean el código fuente o lancen herramientas para desarrolladores.
Los paquetes aprovechan una función de JavaScript llamada Expresión de función invocada inmediatamente ( VIDA ), lo que permite ejecutar el código malicioso inmediatamente después de cargarlo en el navegador web. Por el contrario, «signals-embed» no contiene ninguna funcionalidad maliciosa directa y está diseñada para crear una página en blanco engañosa.
La información capturada se envía a un proxy («association-google [.] xyz/adspect-proxy [.] php») para determinar si la fuente de tráfico proviene de una víctima o de un investigador y, a continuación, mostrar un CAPTCHA falso. Una vez que la víctima hace clic en la casilla del CAPTCHA, es redirigida a una página falsa relacionada con criptomonedas en la que se hace pasar por servicios como StandX con el probable objetivo de robar activos digitales.
Sin embargo, si los visitantes están marcados como posibles investigadores, se muestra a los usuarios una página señuelo blanca. También incluye un código HTML relacionado con la política de privacidad de la pantalla asociada a una empresa falsa llamada Offlido.
Adspect, según su sitio web , anuncia un servicio basado en la nube que diseñada para proteger las campañas publicitarias del tráfico no deseado, como el fraude de clics y los bots de las empresas de antivirus. También afirma ofrecer un «encubrimiento a prueba de balas» y que «oculta de forma fiable todas y cada una de las plataformas publicitarias».
Ofrece tres planes: Ant-Fraud, Personal y Professional, que cuestan 299, 499 y 999 dólares al mes. La empresa también afirma que los usuarios pueden anunciar «lo que quieran», y añade que sigue una política sin hacer preguntas: no nos importa lo que publiques y no aplicamos ninguna regla de contenido».
«El uso del encubrimiento de Adspect en los paquetes de la cadena de suministro de npm es poco frecuente», afirma Socket. «Se trata de un intento de combinar la ocultación del tráfico, los controles contra la investigación y la distribución de código abierto. Al integrar la lógica de Adspect en los paquetes de npm, el autor de la amenaza puede distribuir un conjunto de herramientas autónomo para controlar el tráfico que decide automáticamente a qué visitantes exponer a cargas útiles reales».