- More than 43,000 dormant spam packages flooded npm in an organized campaign over two years
- Some packages contained worm-like scripts that automatically generated and published themselves
- Attackers may have faked TEA impact scores to earn decentralized developer rewards
According to experts, about 1% of the entire npm ecosystem is occupied by fake dormant packages uploaded as part of a targeted and potentially malicious campaign spanning several years.
Cybersecurity researchers at Endor Labs found that more than 43,000 spam packages were uploaded over nearly two years through an organized effort using at least 11 different user accounts.
“These packages were systematically published over a long period, flooding the npm registry with junk packages and lingering in the ecosystem for nearly two years,” the researchers said.
TEAトークンの収集か?
研究者らは、このキャンペーンをパッケージ名の付け方から「IndonesianFoods」と名付けた。命名に使われた悪意あるスクリプトには、インドネシアの人名とインドネシア料理の用語がそれぞれ格納された2つの内部辞書が含まれている。スクリプトが実行されると、2つの用語をランダムに選び、数字を加え、サフィックスを付与する。
奇妙なことに、これらのパッケージ自体は悪意のあるものではない。開発者の機密データを盗んだり、バックドアとして機能したりするようには設計されていない。ただそこに存在し、休眠状態でダウンロード数を稼いでいるだけだ。
一部のパッケージは週に数千回ダウンロードされており、これが攻撃者に潜在的な優位性を与える可能性があると研究者は説明する。「これにより、攻撃者が将来的に悪意のあるコミットを仕込めば、それらすべてのダウンロードに影響を及ぼす機会が生まれます。」
一部のパッケージには、実行されると追加のスクリプトを生成・作成し、それらをnpmに追加するワーム型スクリプトが含まれていた。
悪意のある可能性に加え、研究者らはこれが金銭目的のキャンペーンの一部である可能性も指摘している。実際、一部のパッケージにはtea.yamlファイルが含まれており、TEAアカウントがリストされていた。TEAは、オープンソース開発者がソフトウェアに貢献した際に報酬を得られる分散型フレームワークプロトコルだ。
これは、攻撃者がインパクトスコアを偽装し、より多くのTEAトークンを得ようとした可能性を示唆している。
