Registro npm inundado por dezenas de milhares de pacotes falsos; pesquisa aponta campanha prolongada | Riscos e Ameaças

Pesquisadores identificaram uma campanha prolongada que adicionou dezenas de milhares de pacotes falsos ao npm desde 2024 — mais de 67.000 pacotes foram detectados — em operação descrita como spam provavelmente motivado financeiramente. Isso aumenta riscos na cadeia de suprimentos de software.

Pesquisadores de segurança identificaram uma campanha em grande escala que inundou o registro npm com dezenas de milhares de pacotes falsos ao longo de um período estendido, um esforço descrito como provavelmente motivado financeiramente.

O que foi detectado

Relatos apontam para a publicação sistemática de pacotes junk no npm registry desde início de 2024, sobrevivendo no ecossistema por quase dois anos. Fontes que analisaram o fenômeno indicam que mais de 67.000 pacotes falsos foram registrados durante a campanha, publicada de forma contínua para poluir o índice de pacotes.

Motivação e técnica

Os pesquisadores classificam a operação como do tipo spam/worm‑like: pacotes com nomes e conteúdos artificiais publicados em massa possivelmente para efeitos de SEO dentro do registry, geração de dependências involuntárias, ou para sustentar esquemas financeiros (como redirecionamento para serviços pagos, abuso de links, ou manipulação de métricas). As fontes descrevem a motivação como “provavelmente financeiramente motivada”.

Impacto para desenvolvedores e supply chain

Ruído no ecossistema de pacotes, dificultando descoberta de componentes legítimos;
Aumento da superfície de risco para projetos que dependem de resolução automática de nomes de pacote e integração por ferramentas automatizadas;
Potencial para abuso: pacotes maliciosos podem ser publicados misturados a lixo e usados para ataques de supply chain se incluírem código executável ou dependências maliciosas.

O que os responsáveis sugerem

As recomendações gerais das análises públicas incluem reforçar processos de triagem e revisão de dependências, usar locks/constraints de versão e verificações automatizadas (SCA, scanning de dependências), além de políticas organizacionais que limitem atualizações automáticas sem revisão. Também é aconselhável monitorar alterações em dependências transitivas e manter um inventário rigoroso do que é puxado de registries públicos.

Limitações das informações

Embora as matérias descrevam o volume e duração da campanha, não há indicação de uma lista pública completa de pacotes maliciosos ou de IOCs específicos compartilhados pelas fontes citadas. As análises apontam para um padrão de publicação e sobrevivência prolongada desses pacotes, mas nem todas as instâncias foram classificadas tecnicamente como malware — muitas são descritas como junk/spam.

Implicações operacionais

Equipes de desenvolvimento e segurança devem considerar controles de segurança na cadeia de suprimentos de software (SBOMs, SCA, políticas de aprovação de dependência) e aplicar processos que reduzam a chance de um pacote de baixa confiança entrar no build. Para organizações que dependem fortemente de pacotes públicos, auditorias periódicas de dependências e o uso de registries privados ou mirrors controlados podem diminuir exposição a campanhas desse tipo.

Resumo

Pesquisadores relatam uma campanha persistente que inundou o npm com mais de 67.000 pacotes falsos desde 2024, numa ação classificada como spam e provavelmente com motivação financeira. A presença massiva de pacotes junk aumenta o ruído no ecossistema e eleva riscos para a supply chain de software; controles de triagem e políticas de dependência são medidas recomendadas.