Threats
Worm “IndonesianFoods” e a campanha “Big Red” publicaram entre 43.900 e 80 mil pacotes, explorando credenciais roubadas para poluir o repositório e criar riscos na cadeia de abastecimento
13/11/2025
|
Investigadores de segurança alertaram para uma nova e massiva campanha que resultou na publicação de dezenas de milhares de pacotes npm maliciosos, contendo um worm que se autorreplica. Ao contrário de ataques recentes focados no roubo de credenciais, o código desta campanha abusa do ecossistema npm para spam e poluição de recursos. A empresa SourceCodeRed, que nomeou o malware de “worm IndonesianFoods”, identificou mais de 43.900 pacotes npm maliciosos associados a 11 contas. Todos os pacotes seguiam um esquema de nomenclatura aleatória, envolvendo nomes e alimentos indonésios. O malware foi criado para ciclo de spam infinito: criar novos nomes para os pacotes, modificar o ficheiro package.json para tornar os pacotes públicos e adicionar números de versão aleatórios, publicar os pacotes no registo npm em loop infinito, publicando um novo pacote a cada sete segundos. A SourceCodeRed observa que o malware se disfarça de aplicação Next.js legítima para evitar a deteção, e o seu objetivo é “inundar o registo do npm com pacotes inúteis, desperdiçar recursos de infraestrutura, poluir os resultados de pesquisa e criar riscos na cadeia de abastecimento no caso de os programadores instalarem estes pacotes maliciosos acidentalmente”. A atividade foi também observada pela JFrog, que a denominou “Big Red”. A JFrog identificou um número ainda maior: mais de 80 mil pacotes autorreplicantes nomeados, com um esquema semelhante de geração de nomes aleatórios, que incluía adjetivos, cores e nomes de animais, além dos nomes e alimentos. De acordo com a JFrog, o malware reutiliza as credenciais do npm armazenadas do utilizador vítima para publicar os pacotes recém-gerados a um ritmo acelerado. “O resultado é um ciclo fechado e totalmente automatizado que pode inundar o ecossistema do npm com um grande número de pacotes aparentemente legítimos, todos derivados do mesmo modelo de código e diferenciados apenas por metadados aleatórios”, revelou a JFrog. Os 80 mil pacotes maliciosos foram publicados em 18 contas de utilizadores e continham apenas a lógica de publicação autorreplicante. Embora o objetivo imediato seja o spam, a JFrog levanta a hipótese de que a campanha possa ser “um ensaio para uma futura campanha”. A mesma infraestrutura e esquema de nomenclatura poderiam ser reutilizados para distribuir payloads maliciosos reais, utilizando a mesma infraestrutura autorreplicante em grande escala. |
Receba todas as novidades na sua caixa de correio!
THREATS
Infostealers responsáveis por mais de 80% da atividade de malware, alerta CNCS
THREATS
Falhas no Microsoft Teams permitem falsificar identidades e manipular mensagens
ANALYSIS
Maioria das PME europeias não têm estratégia de cibersegurança
OPINION
Shadow AI: A ameaça invisível à segurança da sua organização
ITS CONF
Rapid7: “A realidade é que não conseguimos proteger o que não conseguimos ver” (com video)
THREATS
SAP lança novas notas de segurança para corrigir falhas críticas em múltiplos produtos
THREATS
Segredos expostos no GitHub atingem empresas de IA avaliadas em mais de 400 mil milhões de euros
THREATS
TP-Link: EUA avançam com proposta para banir a marca
THREATS
Vulnerabilidade zero-day em dispositivos explorada para distribuir spyware
THREATS
Plataformas de cloud e IA são porta de entrada para ataques no setor industrial
