Redazione RHC : 15 noviembre 2025 08:44
Se ha descubierto en npm un gusano informático de autopropagación llamado IndonesianFoods . Genera nuevos paquetes cada siete segundos. Según Sonatype, el malware ya ha creado más de 100 000 paquetes , y esta cifra sigue aumentando.
El nombre del gusano IndonesianFoods asigna aleatoriamente nombres relacionados con platos indonesios. Si bien los paquetes creados por el gusano actualmente no contienen ninguna funcionalidad maliciosa ( como robo de datos o puertas traseras ocultas), esto podría cambiar fácilmente con una actualización que añada la carga útil que buscan los atacantes.
Los investigadores advierten que el nivel de automatización y el alcance de este ataque generan la posibilidad de una vulneración a gran escala de la cadena de suministro . Uno de los primeros en detectar esta campaña maliciosa fue el investigador de seguridad Paul McCarty, quien creó una página específica para rastrear a los usuarios de npm asociados con el gusano y la cantidad de paquetes que publicaron.
Mientras tanto, analistas de Sonatype informan que los mismos atacantes intentaron lanzar un ataque el 10 de septiembre de 2025 , utilizando el paquete fajar-donat9-breki. Aunque contenía la misma lógica de autorreplicación, no logró propagarse. Los expertos creen que IndonesianFoods no tiene como objetivo los ordenadores de los desarrolladores. En cambio, creen que el gusano busca sobrecargar el ecosistema e interrumpir la mayor cadena de suministro de software del mundo.
«Este ataque ha comprometido numerosos sistemas de seguridad, demostrando una magnitud sin precedentes», declaró la compañía. «Amazon Inspector detecta estos paquetes mediante alertas OSV, lo que genera una enorme cantidad de informes de vulnerabilidades. Tan solo la base de datos de Sonatype registró 72 000 nuevos boletines en un solo día».
Sin embargo, según Endor Labs , algunos paquetes de IndonesianFoods contienen archivos tea.yaml con cuentas y direcciones de monederos de criptomonedas, abusando así del protocolo TEA , una plataforma blockchain que recompensa a los desarrolladores de código abierto con tokens . El esquema es sencillo: cuantos más paquetes haya y mayor sea su puntuación de impacto, más tokens se pueden obtener. Se cree que los atacantes podrían haber creado miles de paquetes interconectados para acumular tokens.
Los investigadores informan que el gusano reside en un único archivo JavaScript (auto.js o publishScript.js) dentro de cada paquete. Sin embargo, no se activa automáticamente y carece de activadores de instalación automática o funciones posteriores a la instalación; node auto.js debe ejecutarse manualmente. No está claro quién ejecutó manualmente este archivo, pero las decenas de miles de paquetes que contienen IndonesianFoods indican que o bien varias víctimas abrieron el archivo por algún motivo, o bien los propios atacantes lo hicieron.
Endor Labs afirma no haber encontrado pruebas de actividades de ingeniería social a gran escala relacionadas con esta campaña. Sin embargo, el código malicioso podría estar diseñado para escenarios en los que se engañe a los usuarios (por ejemplo, mediante tutoriales falsos) para que ejecuten `node auto.js` y completen la configuración.
Una vez activado, el script se ejecuta en un bucle infinito: elimina `private: true` del archivo `package.json`, genera un nombre aleatorio a partir de un diccionario, crea un número de versión aleatorio (para evitar la detección de duplicados de npm) y publica un nuevo paquete mediante `npm publish` . El ciclo se repite continuamente, y aparece un nuevo paquete cada 7-10 segundos.
«El repositorio se llena de basura, la infraestructura desperdicia recursos, los resultados de búsqueda se contaminan y, si alguien instala el paquete por accidente, surgen riesgos en la cadena de suministro», escribe McCarthy. Curiosamente, según Endor Labs, esta campaña de spam comenzó hace dos años: en 2023, los atacantes añadieron 43 000 paquetes a npm; en 2024, implementaron la monetización mediante TEA; y en 2025, añadieron la autorreplicación a este esquema, convirtiendo a IndonesianFoods en un gusano informático.
IndonesianFoods no es el primer gusano informático que ha acaparado titulares recientemente. Más recientemente, se descubrió el gusano GlassWorm en OpenVSX y en el Marketplace de Visual Studio Code , mientras que el gusano Shai-Hulud comprometió cientos de paquetes npm.
Los analistas de Sonatype advierten que estas campañas de malware, simples pero efectivas , crean las condiciones ideales para que los atacantes introduzcan silenciosamente malware más grave en los ecosistemas de código abierto.
RedazioneEl panorama de la ciberseguridad nos ha acostumbrado a cambios constantes. Cada año surgen nuevas amenazas, nuevos escenarios y nuevas tácticas delictivas. Pero hoy en día, no es solo la tecnologí...
Conocemos al hombre considerado uno de los científicos más polifacéticos y brillantes del siglo pasado, quizá solo comparable a Einstein. Poseía un amplio abanico de talentos científicos, desarr...
Muchos de nosotros crecimos con Hiroshi Shiba, de Jeeg, el robot de acero que hablaba con su difunto padre, el profesor Senjiro Shiba, científico y arqueólogo, dentro de una gran computadora. En un ...
Los atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
