Pesquisadores em cibersegurança alertam para uma campanha de spam em larga escala que tem inundado o registro npm com milhares de pacotes falsos desde o início de 2024. Identificada como ‘IndonesianFoods’, essa campanha já publicou cerca de 67.579 pacotes, que se disfarçam como projetos do Next.js. O objetivo principal não é o roubo de dados, mas sim a saturação do registro com pacotes aleatórios. Os pacotes contêm um script JavaScript que permanece inativo até ser executado manualmente pelo usuário, o que dificulta a detecção automática por scanners de segurança. Essa execução manual inicia um ciclo que remove configurações de privacidade e publica novos pacotes a cada 7 a 10 segundos, resultando em um fluxo constante de pacotes indesejados. A campanha, que já dura mais de dois anos, levanta preocupações sobre a segurança da cadeia de suprimentos de software, pois pode levar desenvolvedores a instalar acidentalmente esses pacotes maliciosos. A GitHub já removeu os pacotes identificados e se comprometeu a intensificar a detecção e remoção de conteúdos maliciosos em sua plataforma.
Fonte: https://thehackernews.com/2025/11/over-46000-fake-npm-packages-flood.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
13/11/2025 • Risco: ALTO
MALWARE
Campanha de spam inunda registro npm com pacotes falsos
RESUMO EXECUTIVO
A campanha de spam no npm representa um risco significativo para a segurança da cadeia de suprimentos de software, com a possibilidade de instalação acidental de pacotes maliciosos por desenvolvedores. A GitHub já tomou medidas para mitigar a ameaça, mas a natureza automatizada e a escala do ataque exigem atenção contínua.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais custos associados à recuperação de sistemas e mitigação de danos.
Operacional
Saturação do registro npm, desperdício de recursos de infraestrutura e riscos à segurança da cadeia de suprimentos.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
67.579 pacotes publicados
Indicador
12 pacotes por minuto
Contexto BR
17.000 pacotes por dia
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há pacotes npm não reconhecidos em projetos em uso.
2
Implementar políticas de segurança para restringir a instalação de pacotes não verificados.
3
Monitorar continuamente o registro npm para novas publicações suspeitas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança da cadeia de suprimentos, pois a instalação acidental de pacotes maliciosos pode comprometer a integridade dos sistemas.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD e segurança de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
