IndonesianFoods: O verme que está causando estragos no npm e criou 100.000 pacotes

IndonesianFoods: O verme que está causando estragos no npm e criou 100.000 pacotes

IndonesianFoods: O verme que está causando estragos no npm e criou 100.000 pacotes

Redazione RHC:15 Novembro 2025 08:43

Um worm de autopropagação, chamado Alimentos indonésios , foi descoberto em npm . Ele gera novos pacotes a cada sete segundos. De acordo com a Sonatype, o malware já criou mais de 100.000 pacotes , e esse número continua a crescer.

O nome do worm IndonesianFoods atribui aleatoriamente nomes relacionados a pratos indonésios. Embora os pacotes criados pelo worm atualmente não contêm nenhuma funcionalidade maliciosa ( como roubo de dados ou backdoors ocultos), Isso pode mudar facilmente com uma atualização que adiciona a carga útil que os invasores procuram.

Pesquisadores alertar que o nível de automação e o escopo desse ataque criam o potencial de comprometimento da cadeia de suprimentos em larga escala . Um dos primeiros a notar essa campanha maliciosa foi o pesquisador de segurança Paul McCarty, quem criou uma página dedicada para rastrear os usuários do npm associados ao worm e o número de pacotes que eles publicaram.

Enquanto isso, os analistas da Sonatype relatam que os mesmos invasores tentou lançar um ataque em 10 de setembro de 2025 , usando o pacote fajar-donat9-breki. Embora contivesse a mesma lógica de auto-replicação, não conseguiu se espalhar. Especialistas acreditam que IndonesianFoods não tem como alvo os computadores dos desenvolvedores. Em vez disso, eles acreditam no verme visa sobrecarregar o ecossistema e interromper a maior cadeia de suprimentos de software do mundo.

“Este ataque comprometeu vários sistemas de segurança, demonstrando uma escala sem precedentes”, disse a empresa. “O Amazon Inspector sinaliza esses pacotes por meio de alertas OSV, desencadeando uma enorme onda de relatórios de vulnerabilidade. Só o banco de dados Sonatype registrou 72.000 novos boletins em um único dia.

No entanto, de acordo com Laboratórios Endor , alguns pacotes da IndonesianFoods contêm arquivos tea.yaml com contas e endereços de carteira criptográfica, abusando assim o protocolo TEA um Plataforma blockchain que paga desenvolvedores de código aberto em tokens . O esquema é simples: quanto mais pacotes houver e quanto maior sua pontuação de impacto, mais tokens poderão ser obtidos. Acredita-se que os invasores possam ter criado milhares de pacotes interconectados para acumular tokens.

Os pesquisadores relatam que o worm reside em um único arquivo JavaScript (auto.js ou publishScript.js) dentro de cada pacote. No entanto, ele não é ativado automaticamente e não possui gatilhos de instalação automática ou ganchos pós-instalação; nodo auto.js deve ser executado manualmente. Não está claro quem iniciou manualmente este arquivo, mas as dezenas de milhares de pacotes contendo IndonesianFoods indicam que Várias vítimas abriram o arquivo por algum motivo ou os próprios invasores o fizeram.

A Endor Labs diz que não encontrou evidências de atividade de engenharia social em larga escala acompanhando esta campanha. No entanto, o código do malware pode ser projetado para cenários em que os usuários são enganados (por exemplo, por meio de tutoriais falsos) em execução auto.js do nó para concluir a configuração.

Uma vez ativado, o script é executado em um loop infinito: ele remove “private”: true de package.json, gera um nome aleatório de um dicionário, cria um número de versão aleatório (para contornar a detecção de duplicatas do npm) e Publica um novo pacote por meio de npm publish . O ciclo se repete continuamente, com um novo pacote aparecendo a cada 7 a 10 segundos.

“O repositório se enche de lixo, a infraestrutura desperdiça recursos, os resultados da pesquisa ficam poluídos e, se alguém instalar acidentalmente o pacote, surgem riscos na cadeia de suprimentos”, McCarthy escreve. Curiosamente, de acordo com a Endor Labs, Esta campanha de spam começou há dois anos: em 2023, Os atacantes acrescentaram 43.000 pacotes para o NPM, em 2024, eles implementaram a monetização via TEA e, em 2025, adicionaram a auto-replicação a esse esquema, transformando a IndonesianFoods em um worm.

A IndonesianFoods não é o primeiro verme a chegar às manchetes recentemente. Mais recentemente, o Verme de vidro worm foi descoberto em OpenVSX e o Visual Studio Code Marketplace , enquanto o Shai-Hulud O worm comprometeu centenas de pacotes npm.

Sonátipo Analistas alertam que essas campanhas de malware simples, mas eficazes Crie as condições ideais para que os invasores introduzam silenciosamente malwares mais sérios em ecossistemas de código aberto.

Redação
A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.

Lista degli articoli

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.