Zelfreplicerende worm aanwezig in tienduizenden malafide npm-packages

In dit artikel:

Tienduizenden npm-packages bevatten een zelfreplicerende worm die zich onder de dekmantel van pakketten met namen van Indonesisch eten verspreidt — daarom wordt het als de "IndonesianFoods"-worm aangeduid. Onderzoekers van SourceCodeRed ontdekten dat de malware automatisch willekeurige namen genereert, package.json-bestanden aanpast, een willekeurig versienummer toevoegt en de nieuwe package publiceert; zij telden zo'n 43.900 besmette packages via 11 accounts. Beveiligingsbedrijf JFrog meldt zelfs meer dan 80.000 varianten vanaf 18 accounts.

De worm publiceert continu nieuwe packages (ongeveer elke zeven seconden), waardoor de npm-registry overspoeld raakt en het risico stijgt dat ontwikkelaars per ongeluk een malafide package installeren en de worm in legitieme projecten terechtkomt. Het motief is nog onduidelijk; JFrog waarschuwt dat dit mogelijk een testfase is voor een latere campagne die dezelfde infrastructuur voor schadelijke payloads zou gebruiken.

Advies voor ontwikkelaars: controleer auteurs en afhankelijkheden, gebruik lockfiles en vertrouwde registries, draai beveiligingsscans (npm audit/third-party tools) en beperk automatische installaties in CI-omgevingen om blootstelling te verkleinen.