上周，三家网络安全公司SourceCodeRED、Endor Labs和Sonatype发出警告，称恶意蠕虫程序IndonesianFoods出现在NPM包仓库中。攻击者通过随机组合印尼语人名与食品术语生成包名，以自动化方式平均每7秒上传一个恶意包。随后，大型云服务提供商Amazon也观察到相关活动，并公布了调查结果与处理情况。

Amazon Inspector安全团队指出，此次攻击最早可追溯至10月24日左右。当时团队尝试引入新的检测规则并结合AI技术，发现部分异常的NPM包，其共同特征是包含与加密货币Tea（tea.xyz）通信协议相关的代码。Tea是一个奖励开源开发者的区块链平台。

11月7日，团队发现数千个此类包，并立即展开调查，随后向开源安全基金会（OpenSSF）报告。经OpenSSF确认与协调，Amazon通过系统化方式将这些恶意包录入OpenSSF恶意包数据库。此次攻击持续至11月12日才停止，共发现超过15万个有问题的NPM包。

这些包均通过自动化手段自我复制，不具备任何正常功能，也未包含明显的恶意代码。攻击者的主要目的是利用Tea加密货币的奖励机制，建立“代币农场”，通过自动复制和包依赖关系纠缠，人为抬高包的流行度，从而从开源社区中牟取经济利益。

尽管这些恶意包不会窃取开发者的账户密码或凭证，也未部署勒索软件造成破坏，但Amazon指出，这批垃圾包仍对软件供应链安全构成严重威胁。首先，大量无功能、低质量的包充斥NPM仓库，导致合法包被淹没，削弱了开源社区的信任；其次，NPM的基础架构、带宽和存储资源被大量无用包占用；此外，未来其他攻击者也可能效仿，瞄准此类奖励机制进行套利。