Amazon reveló una campaña masiva que inundó el ecosistema NPM con más de 150,000 paquetes maliciosos generados automáticamente por un gusano diseñado para publicar nuevos paquetes de manera infinita.
La campaña tiene motivación financiera y está vinculada al ecosistema tea.xyz, que recompensa actividad en proyectos de código abierto con tokens digitales.
¿Qué está pasando?
Entre el 24 de octubre y el 12 de noviembre, Amazon identificó miles de paquetes creados automáticamente y publicados sin intervención humana.
Estos paquetes no tienen funcionalidad real: su único propósito es replicarse, generar nuevos paquetes, alterar su package.json y volver a publicarlos para inflar artificialmente la actividad asociada al ecosistema tea.xyz.
Reportes previos habían estimado cerca de 80,000 paquetes, pero Amazon confirmó que la cifra es el doble.
¿Cómo funcionan estos paquetes maliciosos?
Cada paquete incluye:
Un gusano de autorreplicación que genera y publica más paquetes.
Un archivo tea.yaml, usado para vincular actividad a direcciones de billeteras blockchain.
Rutinas automáticas que convierten los paquetes en públicos y los suben al registro NPM.
El objetivo no es comprometer equipos, sino manipular el sistema de recompensas de tea.xyz al inflar métricas de actividad y dependencia entre paquetes.
Según Amazon, los actores de amenaza buscan obtener beneficios económicos explotando el diseño de este programa de incentivos.
¿Cuál es el impacto en el ecosistema de código abierto?
La campaña, rastreada como IndonesianFoods y Big Red, afecta al ecosistema NPM de varias formas:
Contamina el registro con miles de paquetes basura.
Consume recursos de infraestructura en la nube.
Aumenta los riesgos para desarrolladores que, accidentalmente, puedan descargar paquetes no verificados.
Abre la puerta a que otros actores imiten el modelo para explotar plataformas con mecanismos similares de recompensa.
JFrog y SourceCodeRed ya habían advertido que la escala y automatización de esta campaña marcan un precedente peligroso para la cadena de suministro de software.
¿Por qué importa este hallazgo?
La campaña demuestra una evolución en los modelos de amenaza: ya no se trata solo de malware tradicional, sino de abusar económicamente sistemas legítimos mediante saturación automatizada.
Amazon advierte que este tipo de incidentes subraya la importancia de fortalecer la colaboración entre la industria y la comunidad open source para defender la cadena de suministro.
¿Qué deberían hacer los desarrolladores y equipos de seguridad?
Verificar cuidadosamente cualquier paquete NPM antes de incluirlo en proyectos críticos.
Evitar instalar dependencias con nombres desconocidos, repetitivos o con poca documentación.
Implementar controles internos para auditar dependencias en CI/CD.
Usar herramientas de análisis de seguridad de supply chain para detectar paquetes anómalos.
Mantener comunicación con proveedores, comunidades y equipos de threat intelligence sobre nuevas campañas similares.
