Descoberta e escala
Analistas citados no Cyber Security News e na pesquisa da ENDOR Labs descrevem o IndonesianFoods como composto por mais de 43.000 pacotes distribuídos em ao menos onze contas. Os pacotes representaram mais de 1% do registro npm enquanto permaneceram inativos à espera de ativação.
Mecanismo de ativação e propagação
O worm funciona por meio de scripts ocultos (auto.js ou publishScript.js) que, quando executados manualmente, removem a flag "private": true de package.json, geram números de versão aleatórios e executam "npm publish --access public" em ciclos de sete a dez segundos.
A taxa de publicação reportada é de aproximadamente 12 pacotes por minuto — cerca de 720 por hora ou ~17.000 por dia — permitindo a rápida inundação do registro após ativação.
Impacto na cadeia de dependências
Cada pacote spam referenciava entre oito e dez dependências spam; ao instalar um pacote contaminado, o npm baixa automaticamente sua árvore de dependências, potencialmente puxando centenas de pacotes correlacionados em cascata. Alguns pacotes já acumulavam milhares de downloads semanais, criando vetores para eventuais injeções de código malicioso em atualizações futuras.
Monetização e motivação
A ENDOR Labs associou a operação ao abuso do protocolo TEA, destinado a recompensar contribuições open source com tokens. Os atacantes monetizaram a campanha por meio de recompensas TEA, e alguns pacotes exibiam publicamente valores de token ganhos em suas documentações.
Observações e recomendações
O padrão de nomes dos pacotes (combinações de nomes indonésios e termos alimentares com sufixos aleatórios) fornece um indicador de rastreabilidade, segundo os analistas. As fontes recomendam atenção na cadeia de suprimentos de software e revisão de dependências, mas o texto do RSS não lista indicadores de comprometimento específicos.
Fontes citadas: ENDOR Labs (referenciado pelo Cyber Security News).