Por Angel Di Matteo 𝕏 @shadowargelInvestigadores de ciberseguridad revelaron siete paquetes maliciosos en NPM en JavaScript que emplean Adspect para distinguir entre víctimas y analistas de seguridad, con el fin de dirigir a usuarios legítimos hacia sitios cripto fraudulentos.
***
- Siete paquetes en NPM de JavaScript emplearon Adspect para distinguir entre víctimas y analistas de seguridad.
- El código malicioso bloquea acciones de desarrolladores e intenta ocultar su ejecución.
- La campaña coincide con un reporte de AWS sobre más de 150.000 paquetes vinculados a una operación masiva de farming de tokens TEA.
🚨¡Alerta cibernética!🚨
Investigadores hallan 7 paquetes maliciosos en NPM que utilizan Adspect.
Estos paquetes dirigen a usuarios a estafas cripto, eludiendo análisis de seguridad.
Cada paquete tuvo cientos de descargas.
La campaña estuvo activa entre septiembre y noviembre… pic.twitter.com/NX6AazHWyY
— Diario฿itcoin (@DiarioBitcoin) November 19, 2025
Investigadores de ciberseguridad revelaron un conjunto de siete paquetes maliciosos publicados en el NPM de JavaScript, todos ellos subidos por una única persona. Según el reporte, estos paquetes utilizan Adspect, un servicio de ocultamiento comercial, para diferenciar entre víctimas reales y analistas de seguridad. Esta técnica permite redirigir a los usuarios legítimos hacia sitios sospechosos con temática cripto.
El informe en cuestión indicó que la campaña estuvo activa entre septiembre y noviembre de 2025, periodo en el que el actor identificado como “dino_reborn” publicó los siete paquetes. Cada uno registró cientos de descargas, lo que refuerza la preocupación sobre su alcance en el ecosistema de JavaScript. Los investigadores sostienen que la funcionalidad maliciosa se oculta mediante diversas capas técnicas que buscan evadir el análisis profesional, reseña Cryptopolitan.
Adspect se presenta como un servicio diseñado para proteger campañas publicitarias de tráfico no deseado. Su sitio web afirma que puede filtrar clics fraudulentos, bots de empresas de antivirus y cualquier tipo de acceso no autorizado. También asegura ofrecer “cloaking a prueba de balas” y permitir la promoción de “cualquier cosa”, gracias a una política de cero cuestionamientos sobre el contenido que los clientes publican.
El rol de Adspect dentro de los paquetes maliciosos y su modelo de negocio
Adspect opera en un modelo de suscripción dividido en tres planes. La empresa asegura brindar servicios avanzados de filtrado para anunciantes y promete no imponer reglas de contenido. Este posicionamiento ha generado inquietudes entre especialistas debido a su potencial uso por actores maliciosos.
El servicio afirma que puede ocultar campañas para garantizar que solo usuarios calificados vean el contenido real. En este caso, los atacantes lo utilizaron para enviar a las víctimas hacia páginas relacionadas con estafas cripto. Sin embargo, analistas de seguridad que ingresan a los sitios reciben una versión falsa o incompleta, lo que entorpece la detección.
La investigadora Olivia Brown, del equipo de seguridad Socket, explicó el proceso mediante el cual los atacantes distinguen a sus objetivos. Según indicó, al visitar uno de los sitios simulados, el sistema determina si el visitante es una víctima o un investigador. Solo los primeros ven el CAPTCHA falso que conduce al sitio malicioso, mientras que los analistas encuentran señales sutiles que sugieren actividad engañosa.
Este enfoque dificulta el trabajo de verificación. Además, Adspect ofrece funciones que bloquean la inspección de código, lo que evita que los especialistas abran herramientas de desarrollador y examinen el comportamiento real del sitio. Así, los actores de amenazas logran maximizar la probabilidad de éxito sin exponerse fácilmente.
Relación con la masiva operación de flooding detectada por AWS
El reporte coincide con una publicación adicional de Amazon Web Services. Su equipo Amazon Inspector informó que detectó más de 150.000 paquetes vinculados a una campaña coordinada de farming del token TEA. Esta operación, según la empresa, se remonta a una primera ola identificada en abril de 2024 y que desde entonces ha crecido de forma exponencial.
Los investigadores de la compañía, Chi Tran y Charlie Bacon, afirmaron que este evento constituye uno de los incidentes de inundación de paquetes más grandes en la historia de los registros open source. Según señalaron, los actores de amenazas utilizan herramientas automatizadas para generar y publicar paquetes con el objetivo de recibir recompensas en criptomonedas sin que los usuarios sean conscientes de ello.
AWS indicó que esta actividad representa un momento determinante para la seguridad de la cadena de suministro de software. Los expertos insisten en que el volumen de paquetes maliciosos aumenta la superficie de ataque, lo que requiere análisis más exhaustivos y monitoreo constante en los ecosistemas open source.
Artículo escrito con ayuda de un redactor de contenido de IA, editado por Angel Di Matteo / DiarioBitcoin
Imagen original de Unsplash.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Senadora Elizabeth Warren alerta nuevamente sobre vínculos entre el presidente Trump y el mercado cripto
OCC autoriza a bancos de EEUU mantener criptomonedas para pagar tarifas de gas en redes Blockchain
Fiscalía de EEUU acusa a fundador de empresa de cajeros cripto por lavado de dinero
