کمیته رکن چهارم – پژوهشگران امنیتی از انتشار بیش از ۶۷ هزار بسته جعلی در رجیستری npm خبر دادهاند که در یک کارزار اسپم کرمگونه از اوایل سال ۲۰۲۴ آغاز شده است. این بستهها با هدف کسب پاداش رمزارزی از طریق پروتکل TEA منتشر شدهاند و الگوهای تکرارشونده در نامگذاری، اسکریپتهای خودکار و انتشار انبوه نشان میدهد انگیزه اصلی ایجاد تورم مصنوعی در امتیاز بستهها است. این روند بدون اجرای کد مخرب هنگام نصب صورت میگیرد و بیشتر به آلودگی گسترده رجیستری منجر شده است.
به گزارش کمیته رکن چهارم، اسکریپتهایی مانند auto.js با حذف تنظیمات خصوصی، تولید نسخههای تصادفی و انتشار مداوم بستهها، زنجیرهای خودتکثیرشونده ایجاد میکنند که میتواند در هر ساعت صدها بسته جدید تولید کند. این سازوکار به دلیل عدم وجود کد اجرایی مخرب، از اسکنرهای معمول عبور کرده و نشان میدهد حتی بدون نیت آلودهسازی، امکان ضربهزدن به اعتماد زنجیره تأمین نرمافزار وجود دارد.
کارشناسان هشدار دادهاند که این حجم از انتشار خودکار میتواند بر جستجو، مدیریت وابستگی و کیفیت اکوسیستم تأثیر منفی بگذارد. توسعهدهندگان باید از اجرای اسکریپتهای ناشناس خودداری کرده و وابستگیها را با دقت بررسی کنند. تیمهای امنیتی نیز باید نظارت هوشمندانهتری بر الگوهای انتشار غیرعادی و بستههای بدون عملکرد واقعی داشته باشند تا از گسترش چنین کارزارهایی جلوگیری شود.
