Security

Paket NPM Berbahaya Manfaatkan Redirect Adspect untuk Mengelabui Sistem Keamanan

16 minutes ago
1 minute read

Para peneliti keamanan menemukan tujuh paket berbahaya di repositori Node Package Manager (npm) yang memanfaatkan layanan Adspect untuk memisahkan peneliti dari calon korban dan mengalihkan mereka ke situs berbahaya, khususnya penipuan kripto. Temuan ini diungkap oleh tim dari perusahaan keamanan aplikasi Socket.

Tujuh Paket Berbahaya dari Developer Palsu

Seluruh paket diterbitkan antara September hingga November oleh akun pengembang bernama ‘dino_reborn’ (geneboo@proton[.]me). Enam di antaranya berisi kode berbahaya, sementara satu paket bertindak sebagai pembangun halaman umpan (decoy) yang tampak sah.

Daftar paket tersebut meliputi:

  • signals-embed
  • dsidospsodlks
  • applicationooks21
  • application-phskck
  • integrator-filescrypt2025
  • integrator-2829
  • integrator-2830

Paket signals-embed tidak memuat malware tetapi membuat halaman putih sebagai umpan. Sementara itu, enam paket lainnya memuat mekanisme pengumpulan data untuk membedakan pengunjung biasa dari peneliti keamanan, lalu mengarahkan korban ke situs scam kripto.

Cara Kerja Serangan Cloaking Adspect

Kode berbahaya bekerja dengan mengumpulkan karakteristik lingkungan browser—mulai dari user agent, host, parameter URL, bahasa, hingga timestamp. Informasi ini kemudian dikirim ke Adspect, layanan berbasis cloud yang biasanya digunakan untuk memfilter akses bot. Dalam konteks ini, Adspect disalahgunakan untuk menentukan apakah pengguna adalah target atau analis keamanan.

Peneliti menyebutkan bahwa keenam paket berbahaya ini memiliki skrip cloaking berukuran sekitar 39 KB yang dieksekusi otomatis melalui pola IIFE (Immediately Invoked Function Expression), tanpa memerlukan interaksi tambahan dari pengguna.

Anti-Analisis untuk Menghalangi Peneliti

Kode yang disuntikkan memuat beberapa mekanisme anti-analisis, termasuk:

  • Memblokir klik kanan
  • Memblokir tombol F12, Ctrl+U, dan Ctrl+Shift+I
  • Memuat ulang halaman jika DevTools terdeteksi

Strategi ini membuat proses inspeksi jauh lebih sulit bagi analis keamanan. Ketika dijalankan, skrip akan mengirim fingerprinting data ke server peretas sebelum Adspect menentukan hasil redirect.

Korban Dialihkan ke CAPTCHA Kripto Palsu

Jika pengguna terdeteksi sebagai korban potensial, mereka akan diarahkan ke halaman CAPTCHA palsu bermerek Ethereum atau Solana. Dari sana, skrip akan membuka URL berbahaya yang ditentukan Adspect di tab baru, seolah-olah itu adalah tindakan pengguna.

Jika sebaliknya pengguna teridentifikasi sebagai peneliti, halaman perusahaan palsu bernama Offlido akan ditampilkan sebagai kamuflase.

Penyalahgunaan Adspect

Adspect secara resmi dipromosikan sebagai layanan untuk memblokir akses tidak sah dan memfilter bot. Namun, dalam kasus ini, fitur tersebut disalahgunakan oleh aktor ancaman untuk mengelabui sistem keamanan dan menyasar pengguna nyata. Socket mencatat bahwa belum ada jawaban dari Adspect terkait penyalahgunaan ini.

Tags
16 minutes ago
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button