- Sieben mit Adspect getarnte npm-Pakete nutzten Traffic-Filterung, gefälschte CAPTCHAs und Tricks gegen die Forschung; eines diente als Köder.
- Eine groß angelegte Spam-Kampagne mit dem Namen „IndonesianFoods“ nutzte ruhende Skripte, Namensmuster und Abhängigkeitsverkettung, um die Registry zu überfluten.
- Der Umfang wurde von Zehntausenden auf über 150,000 Pakete erweitert; Amazon Inspector und OpenSSF koordinierten MAL-IDs und Entfernungsmaßnahmen.
- Zu den Gegenmaßnahmen gehören Abhängigkeitsprüfungen, eingeschränkte Veröffentlichungsrechte, SCA für ruhende Dateien, Ratenbegrenzung, SBOMs und eine stärkere Kontoverifizierung.
Als geschäftigster Knotenpunkt des JavaScript-Ökosystems die npm-Registry muss sich gleichzeitig mit zwei sehr unterschiedlichen Bedrohungen auseinandersetzen.Eine kleine Anzahl von Paketen, die Nutzer unbemerkt durch Verschleierung umleiten, und eine umfangreiche Kampagne, die massenhaft nutzlose Inhalte veröffentlicht, um Krypto-Belohnungen zu ergattern. Beide Probleme, so unterschiedlich sie auch sein mögen, offenbaren bekannte Lücken in Verteidigung der Lieferkette.
Forscher mehrerer Teams berichten, dass Die Angreifer kombinierten Datenverkehrsverschleierung, Automatisierung und Open-Source-Verteilung. Entweder werden die Opfer auf dubiose Ziele gelockt oder der Index wird in beispiellosem Ausmaß mit minderwertigen Paketen überschwemmt. Diese Fälle verdeutlichen, wie Anreize und Werkzeuge gegen die Allgemeinheit missbraucht werden können, wenn die Schutzmaßnahmen der Kreativität der Angreifer nicht gerecht werden.
Cloaking-basierte Weiterleitungen verwandeln npm-Pakete in Verkehrskontrollsysteme.
Die Ermittler identifizierten sieben npm-Pakete, die mit einem einzelnen Akteur in Verbindung stehen. Wir nutzen den Adspect-Dienst, um echte Nutzer von Forschern zu unterscheiden und die wahre Nutzlast verbergenDie Pakete, die einem inzwischen gelöschten Account namens „dino_reborn“ zugeordnet werden, erschienen zwischen September und November 2025 und erreichten Downloadzahlen im niedrigen dreistelligen Bereich.
Sechs der Pakete enthielten eine etwa 39 kB große Komponente, die speichert Fingerabdrücke der Umgebung und blockiert Entwicklerwerkzeuge im Browser. (um die Analyse zu erschweren) und wird nach dem Import sofort über das IIFE-Muster von JavaScript ausgeführt. Ein siebtes Paket, „signals-embed“, zeichnete sich dadurch aus, dass eine harmlose weiße Seite als Köder zustellen eher als offenkundig bösartiges Verhalten.
Wenn die eingebetteten Websites geladen werden, wird der Datenverkehr über einen Proxy-Endpunkt geleitet bei Association-googlexyz/adspect-proxyphpDies hilft dabei zu entscheiden, ob der Besucher eher wie ein Opfer oder ein Forscher aussieht. Wird er als Opfer eingestuft, sieht er ein gefälschtes CAPTCHA, das letztendlich Weiterleitungen zu Krypto-Seiten, die sich als Dienste ausgeben (z. B. StandX). Wenn ein potenzieller Analyst als solcher gekennzeichnet wird, zeigt die Seite eine einfache Scheinansicht und enthält sogar Standardtexte zu einem fiktiven Unternehmen namens Offlido.
Adspect vermarktet sich selbst als Cloud-Cloaking-Dienst zum Blockieren von „unerwünschtem“ Datenverkehr wie Bots oder Antiviren-CrawlernSie bieten gestaffelte Tarife an und versprechen „kugelsichere Tarnung“. Diese Art von Ad-Tech-Filterung zu sehen, ist bemerkenswert. eingebettet in npm-Paketen bleibt ungewöhnlich, und Forscher bemerken dies effektiv kapselt die Logik zur Verkehrssteuerung in eine Open-Source-Distribution. Der Code entscheidet also in Echtzeit, wer eine echte Nutzlast erhält.
Weil die Logik ausgeführt wird, sobald das Asset geladen ist. Zur Auslösung des Verhaltens ist keine Benutzerinteraktion erforderlich.Dieser unmittelbare Ausführungsablauf – und die Browser-Sperren in den Entwicklertools – erschweren die Analyse und tragen dazu bei, dass das Schema bei einer flüchtigen Überprüfung verborgen bleibt.
Eine weitverzweigte npm-Spam-Operation, die durch Token-Belohnungen angetrieben wird
In einer separaten Entwicklung entdeckten Sicherheitsteams eine umfangreiche Reihe von Spam-npm-Pakete veröffentlicht in Wellen über etwa zwei JahreDie zunächst harmlos erscheinenden Produkte waren jedoch auf Vervielfältigung und finanziellen Gewinn ausgelegt. Unter dem gemeinsamen Namen „IndonesianFoods“ verwendete das Projekt ein einheitliches Namensschema, das … Zufällige indonesische Vornamen mit Bezug zu Lebensmitteln und verschiedene Suffixe, um Tausende von plausibel klingenden Paketen zu generieren.
Auf den ersten Blick wirkten viele Einträge legitim – einige wurden sogar versandt. funktionale Next.js-VorlagenDoch darin befanden sich ungenutzte Dateien wie auto.js or publishScript.js dass, wenn manuell ausgeführt, neue Pakete wurden in rasantem Tempo produziert., angepasste Versionen und entfernte Datenschutzvorkehrungen. Es ist diese einfach zu startende Automatisierung – und nicht etwa ein wirklich autonomes, wurmartiges Verhalten –, die die rasante Verbreitung ermöglichte.
Das Spam-Netzwerk verwies oft auf acht bis zehn weitere gefälschte Abhängigkeiten. die Auswirkungen durch Abhängigkeitsketten verstärkenInstalliert man eines, lädt npm möglicherweise im Hintergrund Dutzende weitere herunter, was die Registry-Überfrachtung erhöht, ohne dass dies unmittelbar und offensichtlich Schaden für die Rechner der Entwickler verursacht.
Die Monetarisierung scheint mit der Open-Source-Belohnungen des TEA-ProtokollsMehrere Pakete enthalten tee.yaml die Nennung bestimmter Konten und Wallet-Adressen – was auf ein Bemühen hindeutet, Aufblähen von Wirkungswerten und Abschöpfen von Token-AuszahlungenIn einigen Fällen wurden diese Gewinne sogar explizit in der Dokumentation erwähnt, was die Vorstellung eines koordinierten, gewinnorientierten Plans anstelle von zufälligen Experimenten bestärkt.
Verschiedene Forschungsgruppen haben die Welle in verschiedenen Phasen gemessen: Die Ergebnisse reichten von ungefähr 43,000 Spam-Uploads zu Beginn der Kampagne bis später mehr als 100,000, mit Amazon Inspector meldete schließlich über 150,000 Pakete über mehrere Konten hinweg bis Mitte November 2025. Das Wachstum wurde offengelegt Registrierungsratenbegrenzungen, Metadatenprüfungen und Mustererkennung als Bereiche, die Aufmerksamkeit benötigen.
Warum Scanner es nicht erkannten und was sich geändert hat
Ein wesentlicher Grund dafür, dass der Wahlkampf so lange dauerte, ist, dass Die meisten automatisierten Werkzeugsuchen suchen nach Malware, die zur Installationszeit benötigt wird—zum Beispiel verdächtig Nachinstallation Hooks oder Dateisystemaktivitäten. Hier war die Nutzlast inaktiv und wurde nicht referenziert, daher wurde sie gemäß gängiger Heuristiken als harmlos eingestuft. Ohne aktive Auslöser scannen Scanner häufig Die zusätzlichen Dateien wurden als harmloser Ballast betrachtet..
Ein weiterer Faktor war der Umfang und die Frequenz der Veröffentlichungen: Skripte könnten alle paar Sekunden neue Pakete übertragen.Dadurch entstand ein überwältigendes Datenvolumen, ohne dass klassische Malware-Signaturen auslösten. Berichten zufolge wurden mehrere Sicherheitsdatenbanken mit Warnmeldungen überflutet, darunter massive Spitzenwerte bei OSV-verknüpfte Warnmeldungen.
Ende Oktober 2025 führte Amazon Inspector eine neue Erkennungsregel ein. gepaart mit KI-gesteuerter Mustererkennung um verräterische Merkmale wie das Vorhandensein von tea.yaml-Dateien, geklonten oder minimalen Code, vorhersehbare Namensgebung, automatisierte Generierungsmuster und zirkuläre Abhängigkeitsketten zu erkennen. Nachdem die Muster Anfang November bestätigt worden waren, koordinierte sich das Team mit der Open Source Security Foundation (OpenSSF) um MAL-IDs schnell zu vergeben – die durchschnittliche Bearbeitungszeit betrug etwa 30 Minuten.
Eine wichtige Nuance: Einige frühe Kommentare bezeichneten die Kampagne als „Wurm“. Spätere Aktualisierungen stellten klar, dass Die Replikationslogik ist nicht selbstpropagierend.Es muss ausgeführt werden. Diese Korrektur ist wichtig, aber das Ergebnis –schnelle, industrialisierte Paketflutung—nach wie vor angespannte Registerinfrastruktur und mangelndes Vertrauen.
Praktische Schritte zur Reduzierung der Exposition
Organisationen sollten die Risikominderung bei npm wie folgt angehen: ein kontinuierlicher, geschichteter ProzessDie folgenden Maßnahmen kombinieren proaktive Abhängigkeitsmanagement-Strategien mit richtlinien- und registerbasierten Kontrollmechanismen. Sie spiegeln die Empfehlungen von Forschern und Ökosystemverantwortlichen wider.
- Überprüfen Sie die Abhängigkeiten anhand von Listen bekanntermaßen fehlerhafter Herausgeber und Verdächtige oder minderwertige Pakete entfernen.
- Beschränke npm publish Berechtigungen für CI/CD und geprüfte Maintainer; Verhinderung der versehentlichen Ausführung von Replikationsskripten.
- Setzen Sie eine Software-Kompositionsanalyse (SCA) ein, die Folgendes ermöglicht: Kennzeichnung ruhender Dateien, Namensmuster oder zirkulärer Abhängigkeitsgeflechte.
- Vorstellen Ratenbegrenzung und Verhaltensüberwachung Bei einem hohen Einsendungsaufkommen sollten Sie CAPTCHA und eine strengere Kontoverifizierung in Betracht ziehen.
- Härten Sie Ihre Pipeline mit SBOMs, Versionsfixierung und isolierte CI/CD-Pipelinessowie strenge Überprüfungen der Unterschrift und der Herkunft.
Zusammengenommen bewirken diese Maßnahmen Reduzierung von Registry-Störungen und gleichzeitige Erleichterung der Erkennung von böswilligem oder manipulativem VerhaltenSie verringern auch den Explosionsradius, falls ein fehlerhaftes Paket in den Bereich gerät.
In beiden Fällen ist der gemeinsame Nenner einfach: Angreifer folgen Anreizen und blinden FleckenOb es sich nun um Verschleierungslogik handelt, die Analysten von Opfern trennt, oder um automatisiertes Token-Farming, das legitime Arbeit übertönt – die Antwort liegt in besserer Transparenz, schnellerer Zusammenarbeit und Richtlinien, die Missbrauch in großem Umfang erschweren und verteuern.
