แพ็คเกจ NPM ที่เป็นอันตราย ใช้การ redirect ของ Adspect เพื่อหลบเลี่ยงการตรวจจับ

ตรวจพบแพ็คเกจ 7 รายการที่ถูกเผยแพร่บน Node Package Manager (npm) registry ที่แอบใช้บริการคลาวด์ที่ชื่อ Adspect เพื่อคัดแยกคนเข้าชม โดยจะแยกระหว่างกลุ่มนักวิจัยออกจากเหยื่อที่เป็นเป้าหมาย แล้วนำเฉพาะเหยื่อไปยังเว็บไซต์ที่เป็นอันตราย

จุดประสงค์ของการโจมตีครั้งนี้คือการนำเหยื่อไปยังเว็บไซต์ที่เป็นอันตรายที่เกี่ยวกับ cryptocurrency อ้างอิงจากการวิเคราะห์ของนักวิจัยจาก Socket ซึ่งเป็นบริษัทด้านความปลอดภัยของแอปพลิเคชัน

แพ็คเกจที่เป็นอันตรายทั้งหมดถูกเผยแพร่ภายใต้นักพัฒนาที่ใช้ชื่อว่า ‘dino_reborn’ (geneboo@proton[.]me) ในช่วงระหว่างเดือนกันยายนถึงพฤศจิกายน อย่างไรก็ตาม 6 ใน 7 แพ็คเกจนั้นมีโค้ดที่เป็นอันตรายซ่อนอยู่ภายใน ในขณะที่อีกหนึ่งแพ็คเกจถูกใช้เพื่อสร้างหน้าเว็บที่เป็นอันตราย :

  1. signals-embed
  2. dsidospsodlks
  3. applicationooks21
  4. application-phskck
  5. integrator-filescrypt2025
  6. integrator-2829
  7. integrator-2830

นักวิจัยระบุว่า ตัวแพ็คเกจที่ชื่อ signals-embed นั้น จริงๆ แล้วไม่ได้มีโค้ดอันตรายอะไร มีเพียงโค้ดสำหรับสร้างหน้าเว็บเปล่า ๆ สีขาวเพื่อใช้เป็น decoy เท่านั้น ในขณะที่อีก 6 ตัวที่เหลือ จะมีโค้ดที่คอยรวบรวมข้อมูลของผู้ที่เข้ามาเยี่ยมชม เพื่อใช้คัดกรองว่าคนที่เข้ามานั้นเป็นนักวิจัย หรือเป็นเหยื่อที่เป็นเป้าหมาย

สิ่งนี้ทำได้โดยการรวบรวมข้อมูลจาก browser environment เช่น browser identifiers, ข้อมูลหน้าเว็บ และ URL, host และ hostname ของหน้าปัจจุบัน และเตรียมข้อมูลนั้นเพื่อส่งไปยัง API ของ Adspect

เทคนิค Adspect Cloaking

นักวิจัยของ Socket ตั้งข้อสังเกตว่า แพ็คเกจอันตรายทั้ง 6 รายการนี้มีโค้ดขนาด 39kB ที่มีกลไก cloaking และเสริมว่าโค้ดดังกล่าวจะทำงานอัตโนมัติเมื่อมีการโหลดหน้าเว็บ โดยที่ผู้ใช้ไม่จำเป็นต้องคลิก หรือทำอะไรเพิ่มเติมเลย เนื่องจากมันถูกเขียนครอบด้วยเทคนิคที่เรียกว่า IIFE (Immediately Invoked Function Expression) ซึ่งทำให้โค้ดทำงานทันที

การโจมตีจะเริ่มทำงานทันที เมื่อเว็บแอปพลิเคชันของนักพัฒนาที่ถูกโจมตีทำการโหลด JavaScript ที่เป็นอันตรายนั้นขึ้นมาในเบราว์เซอร์

จากข้อมูลของ Socket ระบุว่า โค้ดที่ถูก inject เข้ามานี้มีฟีเจอร์ในการ anti-analysis เช่น การบล็อกการคลิกขวา, F12, Ctrl+U, Ctrl+Shift+I, และการรีโหลดหน้าเว็บหากตรวจพบ DevTools สิ่งนี้ทำให้นักวิจัยด้านความปลอดภัยตรวจสอบหน้าเว็บได้ยากขึ้น

Script ดังกล่าวจะรวบรวมข้อมูลต่าง ๆ ของผู้เข้าชม ไม่ว่าจะเป็น user agent, host, referrer, URI, query string, protocol, language, encoding, timestamp และ accepted content types และจากนั้นจะส่งข้อมูล fingerprinting เหล่านี้ ไปยัง proxy ของผู้ไม่หวังดี

IP address จริงของเหยื่อจะถูกดึงข้อมูล และส่งต่อไปยัง Adspect API ซึ่งระบบก็จะนำข้อมูลเหล่านี้ไปประเมินผล เพื่อคัดแยกประเภทของผู้เข้าชม (ว่าคนนี้เป็นเหยื่อ หรือเป็นนักวิจัย)

สำหรับผู้เข้าชมที่ถูกคัดกรองแล้วว่าเข้าข่ายเป็น 'เป้าหมาย' พวกเขาจะถูกส่งต่อไปยังหน้า CAPTCHA ปลอมที่ใช้ cryptocurrency-branded (เช่น Ethereum หรือ Solana) ซึ่งขั้นตอนนี้เป็นการเริ่มต้นการหลอกลวง โดยระบบจะเปิด URL ที่ Adspect กำหนดไว้ในแท็บใหม่ขึ้นมา พร้อมกับหลอกว่าการกระทำดังกล่าวเกิดจากการที่ผู้ใช้เป็นคนกดเปิดมันขึ้นมาเอง

หากผู้เข้าชมถูกระบุว่าอาจเป็นนักวิจัย หน้าเว็บของบริษัท Offlido ปลอมที่ไม่เป็นอันตรายจะถูกโหลดขึ้นมาเพื่อลดความสงสัย

Adspect โฆษณาตัวเองว่าเป็นบริการบนคลาวด์ ที่ช่วยคัดกรองการเข้าถึงหน้าเว็บ โดยจะขัดขวางพวกบอท และผู้ไม่หวังดี และอนุญาตให้เฉพาะผู้ใช้งานตัวจริงเข้ามาได้เท่านั้น

ที่มา : bleepingcomputer