Node Package Manager(npm)レジストリに公開された7つのパッケージが、Adspectというクラウドベースのサービスを利用して、研究者と潜在的な被害者を振り分け、被害者を悪意ある場所へ誘導している。
アプリケーションセキュリティ企業Socketの研究者による分析によれば、この攻撃の目的は被害者を暗号通貨詐欺サイトへ誘導することだという。
すべての悪意あるパッケージは、9月から11月の間に開発者名「dino_reborn」(geneboo@proton[.]me)名義で公開された。しかし、そのうち6つには悪意あるコードが含まれており、7つ目は悪意あるウェブページを構築するために使用されている:
- signals-embed
- dsidospsodlks
- applicationooks21
- application-phskck
- integrator-filescrypt2025
- integrator-2829
- integrator-2830
研究者によれば、signals-embed 自体には本質的な悪意はなく、白いデコイ(おとり)ウェブページを作成するコードのみが含まれているという。他の6つには、トラフィックが研究者からのものか潜在的な被害者からのものかを判別するために、訪問者に関するデータを収集するコードが含まれている。
これは、ブラウザ環境からブラウザ識別子、ページおよびURLデータ、現在のページのホストおよびホスト名などの情報を収集し、それをAdspectのAPIに送信できるよう準備することで実現される。
Adspectによるクローク(秘匿化)
Socketの研究者によると、6つの悪意あるパッケージには39kBのコードが含まれており、そこにクローク機構が実装されている。このコードは、即時実行関数(IIFE)でラップされているため、ユーザーの追加操作なしにページ読み込み時に自動的に実行される。
攻撃は、侵害された開発者のウェブアプリケーションがブラウザ内で悪意あるJavaScriptを読み込んだときに実行される。
Socketによれば、注入されたコードには、右クリック、F12、Ctrl+U、Ctrl+Shift+Iのブロックや、DevToolsが検出された場合にページをリロードするなどの解析妨害機能が備わっている。これにより、セキュリティ研究者がウェブページを調査することが難しくなる。
出典: Socket
スクリプトは、訪問者のユーザーエージェント、ホスト、リファラー、URI、クエリ文字列、プロトコル、言語、エンコーディング、タイムスタンプ、受け入れ可能なコンテンツタイプを収集し、そのフィンガープリントデータを脅威アクターのプロキシに送信する。
実際の被害者のIPアドレスは取得されてAdspect APIに転送され、その後、Adspectがデータを評価して訪問者を分類する。
ターゲットと判定された訪問者は、暗号通貨ブランド(Ethereum、Solana)を装った偽のCAPTCHAページにリダイレクトされる。そこで、ユーザー操作を装いながら、新しいタブでAdspectが定義したURLを開く欺瞞的なシーケンスが開始される。
訪問者が研究者の可能性ありと判定された場合は、疑念を和らげるために、偽だが無害なOfflido社のページが読み込まれる。
出典: Socket
Adspectは、ウェブページへの不正アクセスをフィルタリングし、ボットや悪意あるアクターをブロックして正当なユーザーのみを許可する、クラウドベースのサービスとして販売されている。
BleepingComputerは、同社がこの悪用を認識しているか、またそれを防ぐためにどのような仕組みを用意しているかを確認するために問い合わせを行ったが、公開時点までに回答は得られていない。
