Netcrook Logo
👤 CIPHERWARDEN
🗓️ 30 Nov 2025   🗂️ Threats    

Cibo Spazzatura per npm: Il worm IndonesianFoods Inonda la Dispensa Globale del Codice

Un worm autoriplicante ha rilasciato oltre 100.000 pacchetti falsi su npm, minacciando di soffocare la più grande catena di approvvigionamento software del mondo - e questo è solo l’inizio.

Fatti in Breve

  • IndonesianFoods è un worm che sta inondando npm con oltre 100.000 pacchetti falsi, in crescita ogni minuto.
  • Il worm genera automaticamente pacchetti con nomi di piatti indonesiani ogni 7–10 secondi.
  • Anche se attualmente innocuo, il worm potrebbe facilmente essere armato per diffondere malware.
  • Alcuni pacchetti sfruttano incentivi blockchain, facendo guadagnare token crypto agli aggressori.
  • Gli esperti di sicurezza avvertono che questo attacco potrebbe paralizzare la catena di approvvigionamento software globale.

Il Worm che Ha Divorato il Registro

Immagina di aprire la tua dispensa e trovarla piena di migliaia di barattoli, ognuno con un’etichetta esotica diversa, ma tutti vuoti all’interno. È questo il caos che sta affrontando il registro dei pacchetti JavaScript di npm, dove un worm digitale chiamato IndonesianFoods sta scatenando una tempesta - producendo oltre 100.000 pacchetti fasulli e in continuo aumento, ognuno con il nome di una prelibatezza indonesiana. Non sta ancora rubando le tue ricette, ma il potenziale disastro ribolle sotto la superficie.

Una Ricetta per il Caos

npm, il più grande repository al mondo per codice JavaScript, è una pietra angolare dello sviluppo software moderno. Gli sviluppatori di tutto il mondo vi fanno affidamento per trovare componenti affidabili per le loro app. Ma con IndonesianFoods, il menu è stato contaminato. Individuato per la prima volta alla fine del 2025 dal ricercatore di sicurezza Paul McCarty e monitorato da aziende come Sonatype ed Endor Labs, questo worm è unico per la sua scala e automazione: ogni sette secondi appare un nuovo pacchetto dal nome casuale - intasando i risultati di ricerca, sovraccaricando gli strumenti di sicurezza e rischiando di soffocare il software legittimo.

Il codice del worm è semplice ma efficace: un file JavaScript (auto.js o publishScript.js) che, una volta eseguito, rimuove le restrizioni dalla propria configurazione, sceglie un nome a tema culinario casuale, assegna un numero di versione falso e si pubblica nuovamente. A differenza dei malware classici, non si attiva automaticamente; qualcuno - forse gli stessi aggressori - deve eseguire lo script. Eppure, con decine di migliaia di copie, l’effetto è esponenziale, come una colonia di batteri digitali in rapida moltiplicazione.

Motivazioni Oltre la Malizia

Perché quindi scatenare questo spam culinario? L’analisi rivela una trovata ingegnosa: alcuni pacchetti IndonesianFoods contengono indirizzi di wallet blockchain e sfruttano il protocollo TEA, un sistema che ricompensa i contributi open-source con token crypto. Più pacchetti vengono pubblicati, maggiore è il guadagno - trasformando l’ecosistema npm in una macchina da soldi crypto per gli aggressori. Nel 2023 la campagna era solo spam; nel 2024 è stata monetizzata; e nel 2025 l’autoriproduzione l’ha trasformata in un vero worm.

Non è la prima epidemia. Negli ultimi anni, npm ha affrontato GlassWorm e Shai-Hulud, attacchi simili che hanno inondato i registri di spazzatura o malware nascosto. La differenza questa volta è la scala: Sonatype riporta 72.000 nuovi avvisi di vulnerabilità in un solo giorno, mandando in tilt i team e seminando confusione. Amazon Inspector e altri strumenti di sicurezza sono stati costretti a lavorare a pieno regime per gestire i detriti.

Catena di Approvvigionamento Sotto Assedio

Anche se il payload attuale è per lo più innocuo, gli esperti avvertono che l’infrastruttura è ora pronta per attacchi più sinistri. Inondare npm di pacchetti spazzatura rende più facile per veri malware passare inosservati, nascosti tra il rumore. Se anche solo uno sviluppatore installa accidentalmente una di queste “scatolette vuote”, la porta è aperta a compromissioni future. Nel mondo iper-connesso del software, un solo ingrediente sbagliato può rovinare l’intero pasto.

Man mano che il worm IndonesianFoods continua a servire un banchetto di spazzatura digitale, la lezione è chiara: nella cucina globale del software, anche gli ingredienti apparentemente più innocui possono diventare tossici da un giorno all’altro. È la vigilanza, non solo l’appetito, a mantenere il codice del mondo al sicuro dalla contaminazione.

WIKICROOK

  • npm: npm è una libreria online centrale dove gli sviluppatori condividono, aggiornano e gestiscono pacchetti di codice JavaScript per costruire software in modo efficiente e sicuro.
  • Worm: Un worm è un malware autoriplicante che si diffonde nelle reti senza intervento dell’utente, sfruttando vulnerabilità per infettare più computer.
  • Supply Chain Attack: Un attacco alla catena di approvvigionamento è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • Blockchain Wallet: Un wallet blockchain è un conto digitale per conservare, inviare e ricevere criptovalute, talvolta sfruttato per transazioni illecite.
  • Payload: Un payload è la parte dannosa di un attacco informatico, come un virus o uno spyware, consegnata tramite email o file malevoli quando la vittima vi interagisce.
IndonesianFoods npm supply chain
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news