- Sette pacchetti npm mascherati da Adspect utilizzavano filtri del traffico, falsi CAPTCHA e trucchi anti-ricerca; uno fungeva da esca.
- Lo spam su larga scala denominato "IndonesianFoods" sfruttava script dormienti, nomi strutturati e concatenamento delle dipendenze per inondare il registro.
- La portata è stata estesa da decine di migliaia a oltre 150,000 pacchetti; Amazon Inspector e OpenSSF hanno coordinato i MAL-ID e le rimozioni.
- Le misure di mitigazione includono audit delle dipendenze, diritti di pubblicazione limitati, SCA per file inattivi, limitazione della velocità, SBOM e verifica più rigorosa degli account.
In quanto hub più attivo dell'ecosistema JavaScript, il registro npm si trova ad affrontare due minacce molto diverse contemporaneamente: un piccolo insieme di pacchetti che reindirizzano silenziosamente gli utenti tramite occultamento, e una campagna tentacolare che pubblica in massa materiale spazzatura per inseguire ricompense in criptovalute. Entrambi i problemi, pur essendo distinti, rivelano lacune familiari in difese della catena di fornitura.
I ricercatori di più team riferiscono che gli aggressori hanno combinato il mascheramento del traffico, l'automazione e la distribuzione open source Per indirizzare le vittime verso destinazioni poco raccomandabili o inondare l'indice con pacchetti di basso valore su scala senza precedenti. Questi casi evidenziano come incentivi e strumenti possano essere distorti a scapito della comunità quando le misure di sicurezza non sono all'altezza della creatività degli aggressori.
I reindirizzamenti basati sul cloaking trasformano i pacchetti npm in gate di traffico
Gli investigatori hanno identificato sette pacchetti npm collegati a un singolo attore che utilizzare il servizio Adspect per separare gli utenti reali dai ricercatori e nascondere il vero carico utileI pacchetti, attribuiti a un account ora rimosso denominato "dino_reborn", sono apparsi tra settembre e novembre 2025 con un numero di download nell'ordine delle poche centinaia.
Sei dei pacchetti trasportavano un componente di circa 39 kB che impronte digitali nell'ambiente, blocca gli strumenti di sviluppo nel browser (per ostacolare l'analisi) e viene eseguito immediatamente tramite il pattern IIFE di JavaScript una volta importato. Un settimo pacchetto, "signals-embed", si è distinto per consegnare una pagina bianca innocua come esca piuttosto che un comportamento palesemente malevolo.
Quando i siti impiantati vengono caricati, il traffico viene inviato tramite un endpoint proxy a associazione-googlexyz/adspect-proxyphp, che aiuta a stabilire se il visitatore sembra una vittima o un ricercatore. Se etichettato come vittima, l'utente visualizza un CAPTCHA falso che alla fine inoltra a pagine a tema crittografico che impersonano servizi (ad esempio, StandX). Se segnalata come probabile analista, la pagina mostra una semplice immagine esca e include persino informazioni standard relative a una società fittizia denominata Offlido.
Adspect si pubblicizza come un servizio di cloud cloaking per bloccare il traffico "indesiderato" come bot o crawler AV, offrendo piani a livelli e promettendo un "mascheramento a prova di proiettile". Vedere questo filtro in stile ad-tech incorporato nei pacchetti npm rimane insolito, e i ricercatori lo notano in modo efficace racchiude la logica di controllo del traffico nella distribuzione open source quindi il codice decide in tempo reale chi riceve un carico utile reale.
Poiché la logica viene eseguita non appena la risorsa viene caricata, non è necessaria alcuna interazione da parte dell'utente per attivare il comportamentoQuesto flusso di esecuzione immediato, e i blocchi a livello di browser sugli strumenti per sviluppatori, complicano l'analisi e contribuiscono a tenere lo schema nascosto per un'ispezione superficiale.
Un'operazione di spam npm in espansione guidata da ricompense in token
In uno sviluppo separato, i team di sicurezza hanno scoperto un ampio set di pacchetti npm spam pubblicati a ondate nell'arco di circa due anni, inizialmente apparentemente benigno ma progettato per la replicazione e il guadagno finanziario. Noto collettivamente come "IndonesianFoods", lo sforzo ha utilizzato uno schema di denominazione coerente che abbina nomi propri indonesiani casuali con termini alimentari e vari suffissi per generare migliaia di pacchetti dal suono plausibile.
In superficie, molte voci sembravano legittime, alcune addirittura spedite modelli Next.js funzionaliMa sepolti all'interno c'erano file inutilizzati come auto.js or publishScript.js che, se eseguito manualmente, ha prodotto nuovi pacchetti ad alta velocità, versioni modificate e rimozione delle barriere di protezione della privacy. È stata questa automazione facile da avviare, piuttosto che un comportamento autonomo simile a un worm, ad aver alimentato la rapida diffusione.
La rete di spam spesso faceva riferimento ad altre otto o dieci dipendenze fasulle, amplificando l'impatto attraverso catene di dipendenzaInstallandone uno, npm potrebbe silenziosamente estrarne decine di altri, amplificando il disordine del registro senza alcun danno immediato ed evidente per le macchine degli sviluppatori.
La monetizzazione sembra legata al Ricompense open source del protocollo TEAPacchetti multipli inclusi tea.yaml indicando account specifici e indirizzi di portafoglio, suggerendo uno sforzo per gonfiare i punteggi di impatto ed estrarre i pagamenti in tokenIn alcuni casi la documentazione menzionava addirittura questi guadagni, rafforzando l'idea di un piano coordinato e orientato al profitto, piuttosto che di una sperimentazione casuale.
Diversi gruppi di ricerca hanno misurato l'onda in varie fasi: i risultati variavano da circa 43,000 caricamenti di spam all'inizio della campagna a più di 100,000 dopo, con Amazon Inspector ha segnalato oltre 150,000 pacchi su più account entro la metà di novembre 2025. La crescita esposta limiti di velocità del registro, controlli dei metadati e rilevamento di modelli come aree che necessitano di attenzione.
Perché gli scanner non l'hanno notato e cosa è cambiato
Una delle ragioni principali per cui la campagna è durata così a lungo è che la maggior parte degli utensili automatizzati cerca malware in fase di installazione—ad esempio, sospettoso post-installazione hook o attività del file system. In questo caso, il payload era inattivo e non referenziato, quindi le euristiche comuni lo etichettavano come innocuo. Senza trigger attivi, gli scanner spesso ha trattato i file extra come inutile ingombro.
Un altro fattore era la portata e la cadenza delle pubblicazioni: gli script potrebbero inviare nuovi pacchetti ogni pochi secondi, creando un volume enorme senza attivare le firme dei malware classici. I rapporti notano che diversi sistemi di dati di sicurezza sono stati inondati di avvisi, inclusi picchi massicci in Avvisi collegati a OSV.
Entro la fine di ottobre 2025, Amazon Inspector ha implementato una nuova regola di rilevamento abbinato a modelli basati sull'intelligenza artificiale per individuare tratti rivelatori come la presenza di tea.yaml, codice clonato o minimo, denominazione prevedibile, impronte digitali di generazione automatizzata e catene di dipendenze circolari. Dopo aver confermato i modelli all'inizio di novembre, il team si è coordinato con Fondazione per la sicurezza open source (OpenSSF) per assegnare rapidamente i MAL-ID: il tempo medio di elaborazione era di circa 30 minuti.
Una sfumatura importante: alcuni dei primi commenti hanno definito la campagna un “verme”. Aggiornamenti successivi hanno chiarito che la logica di replicazione non è auto-propagante; deve essere eseguita. Questa correzione è importante, ma il risultato...inondazione rapida e industrializzata dei pacchi—infrastruttura del registro e fiducia ancora sotto pressione.
Misure pratiche per ridurre l'esposizione
Le organizzazioni dovrebbero affrontare la riduzione del rischio npm come un processo continuo e stratificato, combinando l'igiene proattiva delle dipendenze con controlli basati su policy e registri. Le seguenti misure riflettono i consigli dei ricercatori e degli amministratori dell'ecosistema.
- Verificare le dipendenze rispetto agli elenchi di editori noti come dannosi e rimuovere i pacchetti sospetti o di bassa qualità.
- Limita la pubblicazione di npm autorizzazioni per CI/CD e manutentori verificati; impedire l'esecuzione accidentale di script di replicazione.
- Adottare l'analisi della composizione del software (SCA) in grado di segnalazione di file dormienti, denominazione basata su modelli o reti di dipendenze circolari.
- Introdurre limitazione della velocità e monitoraggio comportamentale per invii di grandi volumi; prendere in considerazione CAPTCHA e una verifica più rigorosa dell'account.
- Rafforza la tua pipeline con SBOM, version pinning e CI/CD isolato, oltre a rigorosi controlli di firma e provenienza.
Se combinate, queste misure ridurre il rumore del registro rendendo più facile individuare comportamenti dannosi o manipolativiRiducono inoltre il raggio di esplosione se un pacco difettoso scivola nel grafico.
In entrambi gli incidenti, la linea guida è semplice: gli aggressori seguono incentivi e punti ciechiChe si tratti di una logica di occultamento che filtra gli analisti dalle vittime o di un'agricoltura automatizzata di token che oscura il lavoro legittimo, la risposta sta in una migliore visibilità, una collaborazione più rapida e politiche che rendano gli abusi più difficili e costosi su larga scala.
