Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Повеќе од 67.000 лажни npm пакети го преплавија регистарот во спам-напад со црвовидно однесување

Објавено: 13.11.2025

Истражувачите за сајбер-безбедност предупредуваат на масовна спам-кампања што го преплавила npm регистарот со илјадници лажни пакети од почетокот на 2024 година, во рамки на финансиски мотивирана активност.

„Пакетите беа систематски објавувани во подолг временски период, преплавувајќи го npm регистарот со безвредни пакети кои опстанале во екосистемот речиси две години,“ велат истражувачите Крис Стаику и Киран Раџ од Endor Labs.

Според безбедносниот истражувач Пол Мекарти од SourceCodeRED, кој прв го открил инцидентот, кампањата досега објавила околу 67.579 пакети. Целта е необична – наместо кражба на податоци или класични малициозни активности, нападот има за цел да го преплави npm со случајни пакети.

Поради механизмот на ширење сличен на црв и користење на имиња инспирирани од индонезиски зборови и храна, истражувачите ја нарекоа заканата IndonesianFoods Worm. Лажните пакети се претставуваат како Next.js проекти.

„Загрижувачки е тоа што напаѓачите посветиле време за да создадат NPM црв, наместо еднократен напад,“ рече Мекарти. „Уште полошо, оваа активност се изведува веќе повеќе од две години.“

Неколку индикатори укажуваат на координирана и долгорочна кампања, вклучувајќи доследни шеми на именување и ограничен број на npm сметки (околу десетина) од кои потекнуваат пакетите.

Црвот е сместен во една JavaScript датотека (на пример, „auto.js“ или „publishScript.js“) во секој пакет и останува неактивен сè додека корисникот рачно не ја изврши со команда како „node auto.js“. Со други зборови, не се активира автоматски при инсталација или преку „postinstall“ hook.

Не е целосно јасно зошто некој би ја извршил оваа датотека рачно, но присуството на повеќе од 43.000 пакети укажува дека или повеќе жртви ја активирале по грешка или од љубопитност, или дека самите напаѓачи ја извршиле за да го преплават регистарот, изјави Хенрик Плејт од Endor Labs за The Hacker News.

Истражувачите додаваат дека иако нема докази за координирана социјална инженерска кампања, кодот има потенцијал за таква злоупотреба – преку лажни блогови, туторијали или README фајлови што ги поттикнуваат корисниците да извршат node auto.js за „комплетирање на поставување“ или „поправка на грешка“. Можно е и случајно извршување во CI/CD скрипти што користат wildcards (на пр. node *.js).

Дизајнот на товарот (payload) е намерно „спиен“ за да избегне автоматска детекција – бара рачно активирање наместо автоматско, со што ја намалува можноста да биде откриен од безбедносни скенери и sandbox системи.

Кога корисникот ќе ја изврши скриптата, таа започнува бесконечна петља која ги изведува следниве активности:

  • го отстранува "private": true од package.json (што инаку спречува објавување на приватни пакети);
  • создава случајно име за нов пакет и верзија за да ја заобиколи проверката за дупликати во npm;
  • го објавува пакетот со npm publish.

Процесот се повторува на секои 7–10 секунди, што резултира со околу 12 пакети во минута, 720 на час, или 17.000 дневно.

„Ова го преплавува npm регистарот со безвредни пакети, троши ресурси, ги загадува резултатите при пребарување и создава ризици во синџирот на снабдување ако програмерите случајно ги инсталираат,“ објаснува Мекарти.

Според Endor Labs, оваа кампања е дел од напад првпат документиран во април 2024 од Phylum (сега дел од Veracode) и Sonatype, во кој биле објавени илјадници спам пакети за да се спроведе масовна автоматизирана crypto farming кампања преку злоупотреба на Tea протоколот.

„Она што ја прави оваа кампања особено подмолна е нејзиниот механизам на само-репликација,“ велат истражувачите. Анализата на package.json покажала дека пакетите се поврзуваат меѓусебно како зависимости, создавајќи саморазмножувачка мрежа.

Со тоа, кога корисникот ќе инсталира еден ваков пакет, npm повлекува цело дрво на зависимости, што го преоптоварува системот и мрежата на регистарот.

Некои од пакетите под контрола на напаѓачите, како arts-dao и gula-dao, содржат tea.yaml датотеки со пет различни TEA сметки.
Ова сугерира дека напаѓачите ја користат кампањата за монетизација, односно заработуваат TEA токени преку вештачко зголемување на нивните „impact scores“.

Иако не е познато кој стои зад активноста, кодот и инфраструктурата укажуваат дека операцијата најверојатно потекнува од Индонезија.

JFrog, кој ја следи кампањата под името Big Red, откри дека малициозниот код ги злоупотребува зачуваните npm акредитиви на жртвите за да објавува нови пакети во континуиран циклус.

„Кодот е едноставна, но ефикасна фабрика за npm пакети,“ вели истражувачот Андриј Полковниченко од JFrog. „Резултатот е затворен, целосно автоматизиран циклус што може да го преплави npm екосистемот со огромен број пакети со слична структура, разликувани само по случајни метаподатоци.“

Овие наоди покажуваат и слепа точка во безбедносните скенери, кои обично ги детектираат пакетите што извршуваат малициозен код при инсталација. Во овој случај, немало ништо да се открие во тој момент, велат од Endor Labs.

Гарет Калпузос од Sonatype ја опиша заканата како самообјавувачки црв од огромни размери, кој ги преоптоварува системите за безбедносна анализа.

„Техничката софистицираност не е голема — овие пакети дури и не се обидуваат да инфилтрираат во машините на развивачите,“ рече тој. „Но автоматизацијата и размерот на нападот растат со алармантна брзина.“

„Секој нов бран ги користи отворените карактеристики на npm на нов начин. Овој можеби не краде податоци, но ја докажува колку лесно може да се наруши најголемиот синџир за софтвер во светот,“ додаде тој.

Од GitHub потврдија дека ги отстраниле сите засегнати пакети и дека постојано работат на откривање и отстранување на малициозни сметки и содржини кои ги прекршуваат правилата.

„Ги оневозможивме малициозните npm пакети согласно нашите политики за прифатливо користење,“ изјави портпарол на GitHub.
„Користиме рачен надзор и машинско учење за детекција на закани и охрабруваме корисниците да пријавуваат злоупотреби и спам.“

Извори:

  • The Hacker News – Over 67,000 Fake npm Packages Flood Registry in Worm-Like Spam Attack The Hacker News