El ecosistema de npm se enfrenta a un fenómeno sin precedentes: un payload auto-replicante bautizado como IndonesianFoods ha logrado publicar más de 100.000 paquetes en el registro y el ritmo sigue creciendo.
Este malware automatizado genera un nuevo paquete cada siete segundos, saturando la plataforma y creando enormes volúmenes de contenido inútil.
Aunque los paquetes actuales no contienen código malicioso, la escala y automatización de la campaña podrían permitir que futuras versiones introduzcan amenazas más graves.
El riesgo real está en la cadena de suministro de software open source, donde incluso pequeñas vulnerabilidades pueden causar estragos.
¿Cómo funciona el ataque de IndonesianFoods?
Los investigadores de Sonatype y Endor Labs han observado que esta operación no surge de la nada.
La campaña comenzó en 2023 con 43,000 paquetes, implementó monetización vía TEA Protocol en 2024 y en 2025, se activó la lógica de auto-replicación que mantiene el ataque en curso.
El malware elige nombres de paquetes al azar, usando combinaciones de palabras de comida indonesia y publica cada nuevo paquete automáticamente cada pocos segundos. Esto ha sobrecargado sistemas de monitoreo y bases de datos de seguridad, generando decenas de miles de alertas diarias.
Motivo financiero detrás del ataque
Algunos paquetes publicados contienen archivos tea.yaml que incluyen cuentas y wallets de TEA Protocol, un sistema blockchain que recompensa contribuciones open source con tokens.
Los atacantes inflan su puntuación de impacto mediante miles de paquetes interconectados, dejando claro que el objetivo no es infectar PCs, sino ganancias económicas mediante manipulación del sistema de recompensas.
Riesgos para el ecosistema open source
Este ataque no es un caso aislado. Campañas previas como GlassWorm en OpenVSX o Shai-Hulud han demostrado cómo los ciberdelincuentes explotan la automatización y la escala para saturar repositorios y librerías críticas.
Aunque el daño de cada paquete individual puede ser mínimo, la operación masiva crea un riesgo real de introducción de malware en proyectos ampliamente usados, como chalk o debug.
Recomendaciones para desarrolladores
Para proteger los proyectos open source y mantener la integridad del código, los expertos recomiendan:
- Bloquear versiones específicas de dependencias y evitar actualizaciones automáticas sin revisión.
- Monitorear patrones de publicación anormales en npm.
- Implementar políticas de validación de firmas digitales para asegurar que los paquetes no han sido manipulados.
Estas medidas son clave para evitar que ataques de escala como IndonesianFoods comprometan la seguridad del software y la confianza de los desarrolladores en el ecosistema open source.