O ecossistema de desenvolvimento de software enfrenta uma nova ameaça, com a descoberta de sete pacotes maliciosos publicados no registo npm. Esta campanha distingue-se pelo uso de técnicas avançadas de camuflagem para evitar a deteção por parte de investigadores de segurança, enquanto direciona as vítimas reais para esquemas fraudulentos.
A análise, conduzida pela equipa de segurança da Socket, revela que o objetivo final destes ataques é atrair utilizadores para sites de burlas com criptomoedas.
A arte da camuflagem digital
Todos os pacotes identificados foram publicados sob o nome de programador 'dino_reborn' entre setembro e novembro. A lista inclui nomes como integrator-filescrypt2025, applicationooks21 e signals-embed. Curiosamente, este último pacote não contém código malicioso por si só, servindo apenas para criar uma página de isco inofensiva.
O grande trunfo desta campanha reside na utilização do serviço baseado na nuvem Adspect. Embora comercializado como uma ferramenta para filtrar tráfego indesejado e bots, neste contexto, o serviço é utilizado para "separar o trigo do joio": distingue quem é uma potencial vítima de quem é um investigador de segurança ou um bot de análise automatizada.
Execução silenciosa e medidas anti-análise
Os restantes seis pacotes contêm um código de aproximadamente 39kB que executa o mecanismo de camuflagem. Segundo os investigadores, este código é ativado automaticamente assim que a página carrega, sem necessitar de qualquer interação do utilizador, graças ao uso de Expressões de Função Imediatamente Invocadas (IIFE).
Para dificultar ainda mais a análise do malware, o script injetado inclui várias funcionalidades defensivas. Estas bloqueiam ações comuns de depuração, como o clique com o botão direito do rato, o uso da tecla F12, e atalhos de teclado para ver o código-fonte ou inspecionar elementos (Ctrl+U, Ctrl+Shift+I). Se as ferramentas de desenvolvimento (DevTools) forem detetadas, a página é recarregada automaticamente, frustrando as tentativas de inspeção.
O destino das vítimas
O script recolhe uma vasta gama de dados do navegador do visitante, incluindo identificadores, URL atual, fuso horário e definições de idioma. Esta "impressão digital" é enviada para um proxy e posteriormente avaliada pela API da Adspect.
O comportamento do ataque muda consoante o perfil do visitante:
Investigadores e Bots: Se o tráfego for sinalizado como proveniente de analistas de segurança, o sistema carrega uma página falsa, mas benigna, de uma suposta empresa chamada "Offlido", para não levantar suspeitas.
Vítimas Reais: Se o visitante for qualificado como um alvo legítimo, é redirecionado para uma página de CAPTCHA falsa com marcas de criptomoedas (como Ethereum ou Solana). Isto desencadeia uma sequência enganosa que abre um URL definido pelo atacante num novo separador, mascarando-o como uma ação iniciada pelo próprio utilizador.
Esta campanha sublinha a crescente sofisticação dos ataques na cadeia de fornecimento de software, onde ferramentas legítimas são abusadas para esconder intenções maliciosas.
Nenhum comentário
Seja o primeiro!