Pesquisadores de segurança cibernética destacaram uma campanha de spam em larga escala que inundou o registro npm com mais de 67.000 pacotes falsos desde o início de 2024. Essa ação, aparentemente motivada por ganhos financeiros, foi identificada por Cris Staicu e Kiran Raj, da Endor Labs, e relatada por Paul McCarty, da SourceCodeRED. O ataque, conhecido como “IndonesianFoods Worm”, utiliza um mecanismo de propagação semelhante a um verme e um esquema de nomenclatura baseado em nomes e termos alimentares indonésios.
Os pacotes falsos se apresentam como projetos Next.js e são publicados sistematicamente por uma rede de contas npm. O verme está contido em um único arquivo JavaScript, que permanece inativo até ser executado manualmente. A execução manual inicia uma série de ações em loop infinito, incluindo a remoção de configurações de privacidade e a criação de nomes de pacotes aleatórios, que são então publicados no npm.
O ataque sobrecarrega o registro npm com pacotes inúteis, desperdiçando recursos e criando riscos na cadeia de suprimentos de software. A campanha foi inicialmente documentada pela Phylum e Sonatype em abril de 2024, como parte de um esforço automatizado de mineração de criptomoedas usando o protocolo Tea. Os pacotes se referenciam como dependências, criando uma rede autorreplicante que aumenta a carga no registro npm.
O GitHub removeu os pacotes maliciosos e está comprometido em detectar e eliminar pacotes que violam suas políticas. A Amazon Web Services relatou mais de 150.000 pacotes ligados a essa campanha, destacando a escala do incidente. A campanha ilustra como incentivos financeiros podem levar ao abuso de repositórios de pacotes, comprometendo a confiança na cadeia de suprimentos de software.
Fonte: https://thehackernews.com/2025/11/over-46000-fake-npm-packages-flood.html
