O registo de pacotes npm está a ser alvo de um ataque de spam massivo. Um novo worm, apelidado de ‘IndonesianFoods’, está a auto-replicar-se, publicando novos pacotes indesejados a cada sete segundos. Segundo a Sonatype, o worm—que usa nomes aleatórios de comida e termos indonésios—já publicou mais de 100.000 pacotes, e o número continua a crescer exponencialmente.
O impacto do ataque
Embora os pacotes, para já, não contenham código malicioso focado nos programadores (como roubo de dados ou backdoors), a escala do ataque está a sobrecarregar os sistemas de segurança. A Sonatype reportou que o seu sistema viu 72.000 novos avisos de segurança num único dia, e o Amazon Inspector está a sinalizar estes pacotes, gerando uma onda massiva de alertas.
"Este ataque sobrecarregou múltiplos sistemas de dados de segurança, demonstrando uma escala sem precedentes," afirmou Garret Calpouzos, investigador principal de segurança da Sonatype. Calpouzos nota que a motivação não é clara, mas o objetivo parece ser perturbar a maior cadeia de abastecimento de software do mundo, em vez de infiltrar máquinas de programadores.
O motivo financeiro por trás do caos
Apesar da motivação ser incerta, um relatório da Endor Labs aponta para um incentivo financeiro. Alguns dos pacotes parecem abusar do TEA Protocol, um sistema de blockchain desenhado para recompensar contribuições de código aberto (OSS) com tokens TEA. Estes pacotes continham ficheiros tea.yaml que listavam contas e endereços de carteiras digitais. Ao publicar milhares de pacotes interligados, os atacantes conseguem inflacionar as suas pontuações de impacto no sistema, ganhando assim mais tokens.
Uma ameaça que evoluiu durante dois anos
O relatório da Endor Labs revela ainda que esta campanha de spam começou, na verdade, há dois anos. Em 2023, foram adicionados 43.000 pacotes; a monetização via TEA foi implementada em 2024; e o ciclo de replicação, que transformou o ataque num worm, foi introduzido já em 2025.
A Sonatype refere também uma tentativa anterior falhada pelos mesmos atores a 10 de setembro, com um pacote chamado ‘fajar-donat9-breki’. O investigador de segurança Paul McCarty, que foi o primeiro a denunciar a campanha, criou uma página para monitorizar os editores npm responsáveis e o número de pacotes que publicaram.
O risco real e como se proteger
A campanha ‘IndonesianFoods’ insere-se num contexto preocupante de ataques automatizados à cadeia de abastecimento de código aberto, juntando-se a outros incidentes como o ataque GlassWorm ao OpenVSX ou o worm Shai-Hulud.
Embora os pacotes atuais não sejam maliciosos, a Sonatype alerta que estas operações de spam em larga escala criam as condições ideais para que os atacantes consigam, no futuro, esconder malware muito mais perigoso no meio de tanto "ruído".
Para os programadores, a recomendação é clara: bloquear as versões das dependências, monitorizar padrões de publicação anormais e implementar políticas estritas de validação de assinaturas digitais.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech