- Syv Adspect-maskerte npm-pakker brukte trafikkfiltrering, falske CAPTCHA-er og anti-forskningstriks; én fungerte som en lokkedue.
- Storskala spam kalt «IndonesianFoods» utnyttet sovende skript, mønstret navngiving og avhengighetskjeder for å oversvømme registeret.
- Omfanget ble utvidet fra titusenvis til over 150 000 pakker; Amazon Inspector og OpenSSF koordinerte MAL-ID-er og fjerninger.
- Tiltakene inkluderer avhengighetsrevisjoner, begrensede publiseringsrettigheter, SCA for inaktive filer, hastighetsbegrensning, SBOM-er og sterkere kontoverifisering.
Som JavaScript-økosystemets travleste knutepunkt, npm-registeret håndterer to svært forskjellige trusler samtidig: et lite sett med pakker som i stillhet omdirigerer brukere via maskering, og en omfattende kampanje som massepubliserer søppelpost for å jage kryptobelønninger. Begge problemene, selv om de er forskjellige, avslører kjente hull i forsvar av forsyningskjeden.
Forskere fra flere team rapporterer at angripere kombinerte trafikkmaskering, automatisering og distribusjon med åpen kildekode enten å styre ofrene til lyssky destinasjoner eller oversvømme indeksen med lavverdige pakker i enestående skala. Disse sakene fremhever hvordan insentiver og verktøy kan bli vridd mot samfunnet når autonome mekanismer henger tilbake i forhold til angripernes kreativitet.
Omdirigeringer basert på maskering gjør npm-pakker om til trafikkporter
Etterforskerne identifiserte sju npm-pakker knyttet til én enkelt aktør som bruke Adspect-tjenesten til å skille ekte brukere fra forskere og skjul den virkelige nyttelastenPakkene, som tilskrives en nå fjernet konto kalt «dino_reborn», dukket opp mellom september og november 2025 med nedlastingstall på rundt hundrevis.
Seks av pakkene inneholdt en komponent på omtrent 39 kB som fingeravtrykk i miljøet, blokkerer utviklerverktøy i nettleseren (for å hindre analyse), og kjøres umiddelbart gjennom JavaScripts IIFE-mønster når det er importert. En syvende pakke, «signals-embed», skilte seg ut med å levere en ufarlig hvit side som lokkedue snarere enn åpenlyst ondsinnet oppførsel.
Når de implanterte nettstedene lastes inn, sendes trafikken via et proxy-endepunkt på association-googlexyz/adspect-proxyphp, som bidrar til å avgjøre om den besøkende ser ut som et offer eller en forsker. Hvis brukeren blir tagget som offer, ser vedkommende en falsk CAPTCHA som til slutt videresender til krypto-tema sider som utgir seg for å være en tjeneste (f.eks. StandX). Hvis siden er markert som en sannsynlig analytiker, viser den en enkel visning av lokkedyr og inkluderer til og med standardtekst knyttet til et fiktivt selskap kalt Offlido.
Adspect markedsfører seg selv som en skybasert maskeringstjeneste for å blokkere «uønsket» trafikk som roboter eller antivirus-crawlere, som tilbyr nivådelte planer og lover «skuddsikker maskering». Ser man denne filtreringen i annonseteknologistil? innebygd i npm-pakker er det fortsatt uvanlig, og forskere bemerker det effektivt pakker trafikkstyringslogikk inn i åpen kildekode-distribusjon så koden bestemmer i sanntid hvem som får en ekte nyttelast.
Fordi logikken kjører så snart ressursen lastes inn, ingen brukerinteraksjon er nødvendig for å utløse oppførselenDen umiddelbare utførelsesflyten – og blokkeringene på nettlesernivå i utviklerverktøy – kompliserer analysen og bidrar til å holde skjemaet ute av syne for tilfeldig inspeksjon.
En omfattende npm-spamoperasjon drevet av tokenbelønninger
I en separat utvikling avdekket sikkerhetsteam et omfattende sett med spam-aktige npm-pakker publisert i bølger over omtrent to år, som i utgangspunktet virket godartet, men designet for replikering og økonomisk vinning. Samlet kjent som «IndonesianFoods», brukte initiativet et konsistent navnesystem som kombinerer tilfeldige indonesiske fornavn med matuttrykk og diverse suffikser for å generere tusenvis av pakker som høres plausible ut.
På overflaten så mange av bidragene legitime ut – noen ble til og med sendt. funksjonelle Next.js-malerMen begravd inni var ubrukte filer som auto.js or publishScript.js at når den kjøres manuelt, produserte nye pakker i høy hastighet, justerte versjoner og fjernet personvernrekkverk. Det er denne lettstartede automatiseringen – snarere enn virkelig autonom, ormlignende oppførsel – som drev den raske skaleringen.
Spamnettet refererte ofte til åtte til ti andre falske avhengigheter, øker virkningen gjennom avhengighetskjederInstaller én, og npm kan stille hente dusinvis til, og dermed forsterke rotet i registeret uten umiddelbar, åpenbar skade på utviklernes maskiner.
Monetisering ser ut til å være knyttet til TEA-protokollens belønninger med åpen kildekodeFlere pakker inkludert te.yaml peker på spesifikke kontoer og lommebokadresser – noe som tyder på en innsats for å blåse opp effektpoeng og trekke ut tokenutbetalingerDokumentasjonen påpekte i noen tilfeller til og med disse inntektene, noe som forsterket ideen om en koordinert, profittdrevet plan snarere enn tilfeldig eksperimentering.
Ulike forskningsgrupper målte bølgen på ulike stadier: funnene varierte fra omtrent 43 000 spam-opplastinger tidligere i kampanjen til mer enn 100 000 senere, med Amazon Inspector rapporterer til slutt over 150 000 pakker på tvers av flere kontoer innen midten av november 2025. Veksten som ble eksponert registerfrekvensgrenser, metadatakontroller og mønstergjenkjenning som områder som trenger oppmerksomhet.
Hvorfor skannere gikk glipp av det, og hva som endret seg
En viktig grunn til at kampanjen varte så lenge er at mest automatiserte verktøyjakter etter skadelig programvare på installasjonstidspunktet– for eksempel mistenkelig etterinstallasjon kroker eller filsystemaktivitet. Her var nyttelasten inaktiv og uten referanser, så vanlige heuristikker stemplet den som ufarlig. Uten aktive utløsere bruker skannere ofte behandlet de ekstra filene som godartet rot.
En annen faktor var omfanget og tempoet i publiseringen: skriptene kunne sende nye pakker med noen få sekunders mellomrom, noe som skaper overveldende volum uten å utløse klassiske skadevaresignaturer. Rapporter viser at flere sikkerhetsdatasystemer ble oversvømmet med råd, inkludert massive topper i OSV-tilknyttede varsler.
Sent i oktober 2025 implementerte Amazon Inspector en ny deteksjonsregel. sammen med AI-drevet mønstring å oppdage avslørende trekk som tea.yaml-tilstedeværelse, klonet eller minimal kode, forutsigbar navngiving, automatiserte genereringsfingeravtrykk og sirkulære avhengighetskjeder. Etter å ha bekreftet mønstrene tidlig i november, koordinerte teamet med Open Source Security Foundation (OpenSSF) å tildele MAL-ID-er raskt – den gjennomsnittlige behandlingstiden var omtrent 30 minutter.
En viktig nyanse: noen tidlige kommentarer kalte kampanjen en «orm». Senere oppdateringer klargjorde det. Replikasjonslogikken er ikke selvforplantende; den må utføres. Den korreksjonen er viktig, men resultatet—rask, industrialisert pakkeoversvømmelse– fortsatt anstrengt registerinfrastruktur og tillit.
Praktiske tiltak for å redusere eksponering
Organisasjoner bør tilnærme seg npm-risikoreduksjon som en kontinuerlig, lagdelt prosess, og blander proaktiv avhengighetshygiene med retningslinjer og registerbevisste kontroller. Følgende tiltak gjenspeiler hva forskere og økosystemforvaltere anbefaler.
- Verifiser avhengigheter mot lister over kjente dårlige utgivere og fjern mistenkelige pakker eller pakker av lav kvalitet.
- Begrens npm-publisering tillatelser til CI/CD og godkjente vedlikeholdere; forhindre utilsiktet utførelse av replikeringsskript.
- Ta i bruk programvaresammensetningsanalyse (SCA) som er i stand til å flagging av inaktive filer, mønstret navngivning eller sirkulære avhengighetsnett.
- Introdusere hastighetsbegrensning og atferdsovervåking For innsendinger med stort volum, vurder CAPTCHA og strengere kontoverifisering.
- Herd pipelinen din med SBOM-er, versjonslåsing og isolert CI/CD, i tillegg til grundige signatur- og opprinnelseskontroller.
Når disse tiltakene kombineres, reduser registerstøy samtidig som det blir lettere å oppdage ondsinnet eller manipulerende oppførselDe reduserer også eksplosjonsradiusen hvis en dårlig pakke glir inn i grafen.
På tvers av begge hendelsene er gjennomgående linje enkel: angripere følger insentiver og blindsonerEnten det er maskeringslogikk som filtrerer analytikere fra ofre eller automatisert token-farming som overdøver legitimt arbeid, ligger svaret i bedre synlighet, raskere samarbeid og retningslinjer som gjør misbruk vanskeligere og mer kostbart i stor skala.
