サイバーセキュリティ研究者らは、単一の脅威アクターによって公開された7つのnpmパッケージを明らかにしました。これらのパッケージは、Adspectと呼ばれるクローキングサービスを使用して、実際の被害者とセキュリティ研究者を区別し、最終的に怪しい暗号資産関連サイトにリダイレクトします。これらの悪意のあるnpmパッケージは、9月から11月にかけて「dino_reborn」という名前の脅威アクターによって公開されました[…]サイバーセキュリティ研究者らは、単一の脅威アクターによって公開された7つのnpmパッケージを明らかにしました。これらのパッケージは、Adspectと呼ばれるクローキングサービスを使用して、実際の被害者とセキュリティ研究者を区別し、最終的に怪しい暗号資産関連サイトにリダイレクトします。これらの悪意のあるnpmパッケージは、9月から11月にかけて「dino_reborn」という名前の脅威アクターによって公開されました[…]

サイバーセキュリティ研究者が暗号資産ユーザーを標的とする単一の脅威アクターによって公開された7つのnpmパッケージを明らかに

出典：Cryptopolitan

2025/11/19 02:55

9 分で読めます

REAL$0.06465-4.53%

本コンテンツに関するご意見・ご感想は、crypto.news@mexc.comまでご連絡ください。

サイバーセキュリティ研究者らが、単一の脅威アクターによって公開された7つのnpmパッケージを明らかにしました。これらのパッケージは、Adspectと呼ばれるクローキングサービスを使用して、実際の被害者とセキュリティ研究者を区別し、最終的に怪しい暗号資産関連サイトにリダイレクトします。

これらの悪意のあるnpmパッケージは、「dino_reborn」という脅威アクターによって2025年9月から11月の間に公開されました。パッケージには、signals-embed（342ダウンロード）、dsidospsodlks（184ダウンロード）、applicationooks21（340ダウンロード）、application-phskck（199ダウンロード）、integrator-filescrypt2025（199ダウンロード）、integrator-2829（276ダウンロード）、integrator-2830（290ダウンロード）が含まれています。

Adspectは広告キャンペーンを保護するクラウドベースのサービスを装っています

同社のウェブサイトによると、Adspectはクリック詐欺やアンチウイルス企業からのボットなど、望ましくないトラフィックから広告キャンペーンを保護するように設計されたクラウドコンピューティングサービスを宣伝しています。また、「防弾クローキング」を提供し、「すべての広告プラットフォームを確実に隠蔽する」と主張しています。

同社は3つのプラン（Ant-Fraud、Personal、Professional）を提供しており、それぞれ月額299ドル、499ドル、999ドルです。また、ユーザーは「何でも好きなものを宣伝できる」と主張し、「何を実行するかは気にせず、コンテンツルールを強制しない」という質問なしのポリシーに従っていると付け加えています。

Socketセキュリティ研究者のOlivia Brownは次のように述べています。「パッケージの1つによって構築された偽のウェブサイトを訪問すると、脅威アクターは訪問者が被害者かセキュリティ研究者かを判断します[...]訪問者が被害者である場合、偽のCAPTCHAが表示され、最終的に悪意のあるサイトに誘導されます。セキュリティ研究者である場合、偽のウェブサイト上のわずかな手がかりから、何か不正なことが起きている可能性があることを察知するでしょう。」

AdSpectのウェブブラウザで研究者のアクションをブロックする能力

これらのパッケージのうち6つには、自身を隠しシステムのフィンガープリントのコピーを作成する39kBのマルウェアが含まれています。また、ウェブブラウザ内での開発者アクションをブロックすることで分析を回避しようとし、研究者がソースコードを表示したり開発者ツールを起動したりするのを防ぎます。

これらのパッケージは、「即時実行関数式（IIFE）」と呼ばれるJavaScriptの機能を悪用しています。これにより、ウェブブラウザにロードされるとすぐに悪意のあるコードが実行されます。

しかし、「signals-embed」には直接的な悪意のある機能はなく、おとりの白いページを構築するように設計されています。キャプチャされた情報はプロキシ（「association-google[.]xyz/adspect-proxy[.]php」）に送信され、トラフィックソースが被害者からのものか研究者からのものかを判断し、偽のCAPTCHAを提供します。

被害者がCAPTCHAチェックボックスをクリックすると、StandXなどのサービスを偽装した偽の暗号資産関連ページにリダイレクトされ、デジタル資産を盗むことが目的と思われます。しかし、訪問者が潜在的な研究者としてフラグが立てられた場合、ユーザーには白い偽のページが表示されます。また、Offlidoという偽の会社に関連するプライバシーポリシーの表示に関するHTMLコードも含まれています。

このレポートはAmazon Web Servicesのレポートと一致しています。Amazon Inspectorチームが、2024年4月に検出された初期の波に起源を持つnpmレジストリ内の調整されたTEAトークンファーミングキャンペーンに関連する15万以上のパッケージを特定し報告したと述べています。

「これはオープンソースレジストリの歴史の中で最大のパッケージフラッディング事件の1つであり、サプライチェーンセキュリティにおける重要な瞬間を表しています」と研究者のChi TranとCharlie Baconは述べています。「脅威アクターは、ユーザーの認識なしに暗号資産報酬を獲得するためにパッケージを自動生成して公開しており、キャンペーンが最初の特定以降、指数関数的に拡大していることが明らかになっています。」

あなたのプロジェクトを暗号資産業界のトップマインドの前に出したいですか？次の業界レポートで、データとインパクトが出会う場所に掲載しましょう。

市場の機会

RealLink価格(REAL)

$0.06466

$0.06466$0.06466

-0.01%

USD

RealLink (REAL) ライブ価格チャート

入金で15 USDTを即時獲得

スピンして$200,000相当のゴールド、原油、BTCなどを獲得

免責事項：このサイトに転載されている記事は、公開プラットフォームから引用されており、情報提供のみを目的としています。MEXCの見解を必ずしも反映するものではありません。すべての権利は原著者に帰属します。コンテンツが第三者の権利を侵害していると思われる場合は、削除を依頼するために crypto.news@mexc.com までご連絡ください。MEXCは、コンテンツの正確性、完全性、適時性について一切保証せず、提供された情報に基づいて行われたいかなる行動についても責任を負いません。本コンテンツは、財務、法律、その他の専門的なアドバイスを構成するものではなく、MEXCによる推奨または支持と見なされるべきではありません。