Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 15 Novembre 2025 08:40
Un worm auto-propagante, denominato IndonesianFoods, è stato scoperto in npm. Genera nuovi pacchetti ogni sette secondi. Secondo Sonatype, il malware ha già creato oltre 100.000 pacchetti e questo numero continua a crescere.
Il nome del worm IndonesianFoods assegna nomi casuali legati a piatti indonesiani. Sebbene i pacchetti creati dal worm al momento non contengano alcuna funzionalità dannosa (come il furto di dati o backdoor nascoste), la situazione potrebbe facilmente cambiare dopo un aggiornamento che aggiunga il payload cercato dagli aggressori.
I ricercatori avvertono che il livello di automazione e la portata di questo attacco creano il potenziale per compromettere la catena di approvvigionamento su larga scala. Uno dei primi a notare questa campagna dannosa è stato il ricercatore di sicurezza Paul McCarty, che ha creato una pagina dedicata per tenere traccia degli utenti npm associati al worm e del numero di pacchetti da loro pubblicati.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Nel frattempo, gli analisti di Sonatype segnalano che gli stessi aggressori hanno tentato di lanciare un attacco il 10 settembre 2025, utilizzando il pacchetto fajar-donat9-breki. Sebbene contenesse la stessa logica di autoreplicazione, non è riuscito a diffondersi. Gli esperti ritengono che IndonesianFoods non stia prendendo di mira i computer degli sviluppatori. Ritengono piuttosto che il worm miri a sovraccaricare l’ecosistema e a interrompere la più grande catena di fornitura di software al mondo.
“Questo attacco ha messo in ginocchio numerosi sistemi di sicurezza, dimostrando una portata senza precedenti”, ha affermato l’azienda. “Amazon Inspector segnala tali pacchetti tramite avviso OSV, innescando un’enorme ondata di segnalazioni di vulnerabilità. Il solo database Sonatype ha registrato 72.000 nuovi bollettini in un solo giorno.”
Tuttavia, secondo Endor Labs, alcuni pacchetti IndonesianFoods contengono file tea.yaml con account e indirizzi di portafogli crittografici, abusando così del protocollo TEA, una piattaforma blockchain che paga gli sviluppatori open source in token. Lo schema è semplice: più pacchetti ci sono e più alto è il loro punteggio di impatto, più token si possono ottenere. Si ritiene che gli aggressori avrebbero potuto creare migliaia di pacchetti interconnessi per accumulare token.
I ricercatori segnalano che il worm risiede in un singolo file JavaScript (auto.js o publishScript.js) all’interno di ogni pacchetto. Tuttavia, non si attiva automaticamente e non dispone di trigger di installazione automatica o hook post-installazione: node auto.js deve essere eseguito manualmente. Non è chiaro chi possa aver avviato manualmente questo file, ma le decine di migliaia di pacchetti contenenti IndonesianFoods indicano che o più vittime hanno aperto il file per qualche motivo, oppure che sono stati gli aggressori stessi a farlo.
Endor Labs afferma di non aver trovato prove di un’attività di ingegneria sociale su larga scala che possa aver accompagnato questa campagna. Tuttavia, il codice malware potrebbe essere progettato per scenari in cui gli utenti vengono convinti (ad esempio, tramite falsi tutorial) a eseguire node auto.js per completare la configurazione.
Una volta attivato, lo script viene eseguito in un ciclo infinito: rimuove “private”: true da package.json, genera un nome casuale da un dizionario, crea un numero di versione casuale (per aggirare il rilevamento duplicati di npm) e pubblica un nuovo pacchetto tramite npm publish. Il ciclo si ripete continuamente, con un nuovo pacchetto che appare ogni 7-10 secondi.
“Il repository si riempie di spazzatura, l’infrastruttura spreca risorse, i risultati di ricerca diventano inquinati e se qualcuno installa accidentalmente il pacchetto, ecco che nascono i rischi per la supply chain”, scrive McCarthy. È interessante notare che, secondo Endor Labs, questa campagna di spam è iniziata due anni fa: nel 2023, gli aggressori hanno aggiunto 43.000 pacchetti a npm, nel 2024 hanno implementato la monetizzazione tramite TEA e nel 2025 hanno aggiunto l’autoreplicazione a questo schema, trasformando IndonesianFoods in un worm.
IndonesianFoods non è il primo worm a finire sulle prime pagine dei giornali di recente. Più di recente, il worm GlassWorm è stato scoperto in OpenVSX e Visual Studio Code Marketplace, mentre il worm Shai-Hulud ha compromesso centinaia di pacchetti npm.
Gli analisti di Sonatype avvertono che queste campagne malware semplici ma efficaci creano le condizioni ideali affinché gli aggressori introducano silenziosamente malware più seri negli ecosistemi open source.
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
