IndonesianFoods: Il worm che sta devastando npm e ha creato 100.000 pacchetti

Redazione RHC : 15 Novembre 2025 08:40

Un worm auto-propagante, denominato IndonesianFoods, è stato scoperto in npm. Genera nuovi pacchetti ogni sette secondi. Secondo Sonatype, il malware ha già creato oltre 100.000 pacchetti e questo numero continua a crescere.

Il nome del worm IndonesianFoods assegna nomi casuali legati a piatti indonesiani. Sebbene i pacchetti creati dal worm al momento non contengano alcuna funzionalità dannosa (come il furto di dati o backdoor nascoste), la situazione potrebbe facilmente cambiare dopo un aggiornamento che aggiunga il payload cercato dagli aggressori.

I ricercatori avvertono che il livello di automazione e la portata di questo attacco creano il potenziale per compromettere la catena di approvvigionamento su larga scala. Uno dei primi a notare questa campagna dannosa è stato il ricercatore di sicurezza Paul McCarty, che ha creato una pagina dedicata per tenere traccia degli utenti npm associati al worm e del numero di pacchetti da loro pubblicati.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nel frattempo, gli analisti di Sonatype segnalano che gli stessi aggressori hanno tentato di lanciare un attacco il 10 settembre 2025, utilizzando il pacchetto fajar-donat9-breki. Sebbene contenesse la stessa logica di autoreplicazione, non è riuscito a diffondersi. Gli esperti ritengono che IndonesianFoods non stia prendendo di mira i computer degli sviluppatori. Ritengono piuttosto che il worm miri a sovraccaricare l’ecosistema e a interrompere la più grande catena di fornitura di software al mondo.

“Questo attacco ha messo in ginocchio numerosi sistemi di sicurezza, dimostrando una portata senza precedenti”, ha affermato l’azienda. “Amazon Inspector segnala tali pacchetti tramite avviso OSV, innescando un’enorme ondata di segnalazioni di vulnerabilità. Il solo database Sonatype ha registrato 72.000 nuovi bollettini in un solo giorno.”

Tuttavia, secondo Endor Labs, alcuni pacchetti IndonesianFoods contengono file tea.yaml con account e indirizzi di portafogli crittografici, abusando così del protocollo TEA, una piattaforma blockchain che paga gli sviluppatori open source in token. Lo schema è semplice: più pacchetti ci sono e più alto è il loro punteggio di impatto, più token si possono ottenere. Si ritiene che gli aggressori avrebbero potuto creare migliaia di pacchetti interconnessi per accumulare token.

I ricercatori segnalano che il worm risiede in un singolo file JavaScript (auto.js o publishScript.js) all’interno di ogni pacchetto. Tuttavia, non si attiva automaticamente e non dispone di trigger di installazione automatica o hook post-installazione: node auto.js deve essere eseguito manualmente. Non è chiaro chi possa aver avviato manualmente questo file, ma le decine di migliaia di pacchetti contenenti IndonesianFoods indicano che o più vittime hanno aperto il file per qualche motivo, oppure che sono stati gli aggressori stessi a farlo.

Endor Labs afferma di non aver trovato prove di un’attività di ingegneria sociale su larga scala che possa aver accompagnato questa campagna. Tuttavia, il codice malware potrebbe essere progettato per scenari in cui gli utenti vengono convinti (ad esempio, tramite falsi tutorial) a eseguire node auto.js per completare la configurazione.

Una volta attivato, lo script viene eseguito in un ciclo infinito: rimuove “private”: true da package.json, genera un nome casuale da un dizionario, crea un numero di versione casuale (per aggirare il rilevamento duplicati di npm) e pubblica un nuovo pacchetto tramite npm publish. Il ciclo si ripete continuamente, con un nuovo pacchetto che appare ogni 7-10 secondi.

“Il repository si riempie di spazzatura, l’infrastruttura spreca risorse, i risultati di ricerca diventano inquinati e se qualcuno installa accidentalmente il pacchetto, ecco che nascono i rischi per la supply chain”, scrive McCarthy. È interessante notare che, secondo Endor Labs, questa campagna di spam è iniziata due anni fa: nel 2023, gli aggressori hanno aggiunto 43.000 pacchetti a npm, nel 2024 hanno implementato la monetizzazione tramite TEA e nel 2025 hanno aggiunto l’autoreplicazione a questo schema, trasformando IndonesianFoods in un worm.

IndonesianFoods non è il primo worm a finire sulle prime pagine dei giornali di recente. Più di recente, il worm GlassWorm è stato scoperto in OpenVSX e Visual Studio Code Marketplace, mentre il worm Shai-Hulud ha compromesso centinaia di pacchetti npm.

Gli analisti di Sonatype avvertono che queste campagne malware semplici ma efficaci creano le condizioni ideali affinché gli aggressori introducano silenziosamente malware più seri negli ecosistemi open source.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli