Nieuws
image

Zelfreplicerende worm aanwezig in tienduizenden malafide npm-packages

vrijdag 14 november 2025, 12:29 door Redactie, 5 reacties

Tienduizenden malafide npm-packages zijn verspreid die een zelfreplicerende worm bevatten. De packages zijn allen voorzien van een naam gerelateerd aan Indonesisch eten, en wordt daarom ook wel de IndonesianFoods-worm genoemd.

De worm is ontwikkeld om zichzelf automatisch via npm-packages verder te verspreiden, waarschuwt SourceCodeRed. De malware genereert hierbij een willekeurige naam, past package.json-bestanden aan en voegt aan zijn bestandsnaam een willekeurig versienummer toe. Vervolgens publiceert de worm de package. SourceCodeRed wijst op 43.900 packages die de worm bevatten, die zijn gepubliceerd met behulp van 11 verschillende accounts. JFrog wijst zelfs op meer dan 80.000 varianten verspreid vanaf 18 gebruikersaccounts.

Deze werkwijze wordt continu herhaald, waardoor het aantal malafide npm-packages dat de worm bevat snel groeit. Ongeveer iedere zeven seconden wordt een nieuwe package gepubliceerd, waardoor de npm-registry wordt overspoeld met malafide packages. De worm is hierdoor breed verspreid, wat het risico vergroot dat een ontwikkelaar een van de malafide packages per ongeluk installeert en de worm zijn weg weet te vinden naar legitieme software.

Het doel van de campagne is vooralsnog onduidelijk. JFrog waarschuwt dat het echter om een proef kan gaan voor een latere campagne waarbij dezelfde infrastructuur wordt gebruikt voor het afleveren van schadelijke payloads.

Reacties (5)
Reageer met quote
Vandaag, 12:43 door Anoniem
Lang leve het automatisch downloaden van libraries... JOLO, JOLO, JOLO!!!
Reageer met quote
Vandaag, 13:56 door Anoniem
Ah shit here we go again
Reageer met quote
Vandaag, 13:57 door Anoniem
Kunnen de boys die zo over de zeik gaan van curated app stores (Apple, Google) en developers die moeten identificeren hier even komen kijken hoe mooi een volledig open model met free anonymous uploads door iedereen werkt ?
Reageer met quote
Vandaag, 14:15 door Named
Door Anoniem: Lang leve het automatisch downloaden van libraries... JOLO, JOLO, JOLO!!!
Er is niks mis met het importeren van code, maar houd je dan wel aan de veiligheidsregels:
- Gebruik waar mogelijk betrouwbare bronnen. (Recursief, dus check ook de imports van de imports!)
- Vertrouw je de bron niet, dan lees je de code door voordat je het importeert.
- Set de versie van je import vast, updates moet je handmatig verifiëren.
- Ga ervan uit dat je toch een keertje per ongeluk malware zal uitvoeren en heb dus mitigaties en herstelplannen.
Reageer met quote
Vandaag, 14:28 door Anoniem
Door Named:
Door Anoniem: Lang leve het automatisch downloaden van libraries... JOLO, JOLO, JOLO!!!
Er is niks mis met het importeren van code, maar houd je dan wel aan de veiligheidsregels:
- Gebruik waar mogelijk betrouwbare bronnen. (Recursief, dus check ook de imports van de imports!)
- Vertrouw je de bron niet, dan lees je de code door voordat je het importeert.
- Set de versie van je import vast, updates moet je handmatig verifiëren.
- Ga ervan uit dat je toch een keertje per ongeluk malware zal uitvoeren en heb dus mitigaties en herstelplannen.
De meeste mensen hebben geen tijd om dat allemaal te doen. laat staan de kennis.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure