Hack Alerta

Campanha npm usa cloaking (Adspect) para direcionar vítimas a golpes

Por Redação Hack Alerta Publicado em 19/11/2025 10:02 Riscos e Ameaças Tempo de leitura: 3 min

Pesquisa da Socket.dev mostra campanha no npm que usa Adspect para cloaking, distinguindo pesquisadores de vítimas e entregando uma interface falsa de CAPTCHA que redireciona usuários a golpes. Sete pacotes ligados ao mesmo ator foram identificados; o atacante rotaciona destinos via serviço de cloaking.

Pesquisadores documentaram uma campanha sofisticada no ecossistema npm que emprega mecanismos de cloaking para distinguir entre pesquisadores e vítimas e, assim, ativar redirecionamentos maliciosos apenas para alvos selecionados.

Descoberta e escopo

Equipe da Socket.dev identificou um conjunto de sete pacotes maliciosos publicados no npm e vinculados a um único ator (e‑mail de criação apontado para geneboo@proton[.]me). Os pacotes — incluindo signals-embed, dsidospsodlks, applicationooks21 e outros — continham código que, ao ser usado para hospedar páginas de destino, avaliava o visitante e só entregava payloads maliciosos quando o tráfego era classificado como vítima.

Mecanismo de evasão

O elemento central da evasão é o uso de Adspect, um serviço legítimo de cloaking. O malware no cliente recolhe até 13 pontos de fingerprint (user agent, referrer, idioma, timestamp, protocolo, host, etc.) e envia esses dados a uma API Adspect por meio de um proxy controlado pelo atacante. A resposta do serviço determina se a página exibe uma interface falsa de CAPTCHA que redireciona o usuário para sites de golpe/crypto, ou uma página em branco/com conteúdo benigno quando o visitante aparenta ser pesquisador.

Técnicas anti‑análise

Os scripts ativam contramedidas para bloquear pesquisadores: desabilitam ferramentas de desenvolvedor, impedem menu de contexto, bloqueiam atalhos (F12, Ctrl+U, Ctrl+Shift+I) e forçam reload se DevTools forem detectados. Além disso, o atacante rotaciona URLs de redirecionamento pelo lado do Adspect, permitindo mudar destinos sem republicar pacotes no npm.

Impacto e recomendações

Trata‑se de um avanço preocupante em ataques à cadeia de suprimentos: pacotes aparentemente inofensivos publicados em repositórios públicos são capazes de reconstruir capacidades de request server‑side no browser e condicionar a entrega de golpes. Recomendações imediatas incluem:

  • Auditar dependências npm e procurar por pacotes com nomes suspeitos ou pouca manutenção;
  • Implementar scanners de composição de software (SCA) que cheque assinaturas, propriedades do maintainer e histórico de publicação;
  • Reforçar validação de conteúdo em aplicações que renderizam assets de terceiros e limitar execução de scripts de origem externa quando possível;
  • Monitorar tráfego de saída para domínios de proxy e APIs incomuns que possam indicar infraestrutura de cloaking.

Limitações das informações

As análises publicadas documentam os pacotes e técnicas, mas não quantificam usuários efetivamente afetados nem listam todas as dependências impactadas por essa cadeia. Também não está claro se houve campanhas de distribuição que exploraram vulnerabilidades de integridade de pacotes além do uso direto dos módulos maliciosos.

Fonte: Cyber Security News (com base em análise da Socket.dev).

Baseado em publicação original de Cyber Security News
Tags: #npm #malware #supply-chain #adspect #cloaking #fingerprinting #redirects #socket-dev #security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar