Worm ‘IndonesianFoods’ Banjiri npm dengan 100.000 Paket Spam

Sebuah worm yang dapat menyebar sendiri dilaporkan membanjiri repositori npm dengan lebih dari 100.000 paket dalam waktu singkat. Serangan ini berasal dari sebuah paket yang secara otomatis membuat paket baru setiap sekitar tujuh detik, menghasilkan volume spam yang sangat besar dan mengganggu ekosistem open-source.

Worm tersebut diberi nama “IndonesianFoods” karena skema penamaannya yang unik—menggunakan kombinasi nama acak bernuansa Indonesia serta istilah makanan. Menurut Sonatype, jumlah paket yang dipublikasikan terus meningkat secara eksponensial.

Meskipun paket-paket tersebut tidak memuat komponen berbahaya yang menargetkan perangkat pengembang—seperti pencurian data atau pemasangan backdoor—para peneliti memperingatkan bahwa serangan ini tetap sangat berbahaya. Dengan tingkat otomatisasi yang tinggi, pembuatnya dapat sewaktu-waktu memasukkan muatan berbahaya ke dalam pembaruan berikutnya, sehingga menciptakan potensi kompromi rantai pasok perangkat lunak berskala luas.

Kampanye ini pertama kali dilaporkan oleh peneliti keamanan Paul McCarty, yang kini membuat halaman pemantauan untuk melacak akun penerbit paket tersebut beserta jumlah paket yang mereka unggah. Sonatype mengungkap bahwa pelaku yang sama sebelumnya mencoba pola serangan serupa pada 10 September melalui paket bernama ‘fajar-donat9-breki’, namun saat itu mekanisme replikasi otomatis tidak berhasil berkembang.

Skala serangan kali ini dinilai belum pernah terjadi sebelumnya. Menurut Garret Calpouzos, peneliti keamanan utama di Sonatype, serangan ini membuat sistem analisis keamanan kewalahan. Amazon Inspector, misalnya, memicu gelombang besar laporan kerentanan setelah mem-flags paket-paket IndonesiaFoods melalui advisori OSV. Sonatype sendiri mencatat lebih dari 72.000 advisori baru hanya dalam satu hari, angka yang jauh di atas normal.

Sementara itu, laporan dari Endor Labs memberikan gambaran lebih dalam mengenai motif finansial di balik serangan ini. Sebagian paket terbukti menyertakan file tea.yaml yang memuat akun dan alamat dompet TEA Protocol—platform berbasis blockchain yang memberi imbalan token kepada kontributor open-source. Dengan menerbitkan ribuan paket yang saling berhubungan, para pelaku meningkatkan impact score mereka untuk memperoleh lebih banyak token TEA.

Endor Labs juga mengungkap bahwa kampanye IndonesiaFoods sebenarnya telah dimulai dua tahun lalu. Pada 2023, sekitar 43.000 paket serupa telah disebarkan. Monetisasi melalui TEA Protocol mulai diterapkan pada 2024, dan loop replikasi bergaya worm baru muncul pada 2025. Artinya, kampanye ini merupakan operasi jangka panjang yang terus berevolusi.

Insiden ini menambah daftar serangan otomatis terhadap ekosistem open-source dalam beberapa tahun terakhir, seperti GlassWorm di OpenVSX, worm Shai-Hulud yang memanfaatkan dependency confusion, serta pembajakan paket populer seperti chalk dan debug. Meski setiap insiden menghasilkan dampak terbatas secara individual, pola ini menunjukkan tren baru: penyerang semakin mengandalkan otomasi dan skala besar untuk mengacaukan ekosistem perangkat lunak.

Sonatype memperingatkan bahwa serangan semacam ini dapat menjadi celah bagi aktor jahat untuk menyisipkan malware berbahaya dengan mudah. Para pengembang sangat disarankan untuk mengunci versi dependency, memantau pola publikasi mencurigakan, serta menerapkan kebijakan validasi tanda tangan digital yang ketat.