Npm oversvømmes av svindel og spam: – Bare toppen av isfjellet

Over halvparten av nye publiserte pakker inneholder ikke kode.

Npm skal i utgangspunktet inneholde JavaScript-pakker, men spam har blitt et stort problem. 📸: Kurt Lekanger
Npm skal i utgangspunktet inneholde JavaScript-pakker, men spam har blitt et stort problem. 📸: Kurt Lekanger Vis mer

GitHub-eide npm er verdens største bibliotek med programvarepakker, og brukes av mer enn 17 millioner utviklere verden over, ifølge npm selv.

Nå viser det seg at mer enn halvparten av alle nye pakker som har blitt sendt inn i det siste er såkalt SEO-spam. Det betyr at pakkene ikke inneholder noe som helst nyttig – som programkode – men bare én enkelt README-fil med lenker til diverse andre nettsteder.

Det er selskapet Sandworm som skriver dette i en bloggpost. Sandworm lager verktøy for å skanne og analysere JavasScript-pakker for sårbarheter.

185.731 ikke-legitime pakker

Av rundt 320.000 nye npm-pakker som Sandworm skannet i løpet av én uke i slutten av mars, ble hele 185.731 pakker identifisert som SEO-spam.

Bare i løpet av én time mens artikkelforfatteren skrev artikkelen ble det publisert 1.583 nye spam-pakker.

Langt over halvparten av nye NPM-pakker publisert i perioden 22. – 29. mars var spam. 📸: Sandworm
Langt over halvparten av nye NPM-pakker publisert i perioden 22. – 29. mars var spam. 📸: Sandworm Vis mer

Av alle pakkene som ble publisert fra 22. – 29. mars var det en overvekt av pakker – rundt 93.000 – som stammet fra en Telegram-kanal som ifølge Sandworm ser ut til å rette seg mot russisktalende.

Pakkenavnene er satt til å matche søk på ulike sensitive temaer, som krigen i Ukraina eller investeringer gjort av det russiske energiselskapet Gazprom. I pakkebeskrivelsen står det imidlertid:

"Forget about financial problems forever: a new method of earning will allow you to earn millions without leaving your home!"

Lenkene i README-filen til pakkene peker til Telegram-kanalen som har over 7.000 medlemmer.

Lurer brukere med "gratis e-bøker"

Den nest største svindelkategorien er lenker til falske sider for nedlasting av PDF-bøker eller videoer.

README-filen til disse npm-pakkene inneholder lenker til nettsider som ber brukeren om å gå gjennom ulike steg for å få en nedlastingslenke til en ikke-eksisterende bok eller for å kunne se en video. På den måten lures brukeren til å se en masse annonser, som noen antagelig tjener penger på.

Ikke mye kode å finne i denne npm-pakken. 📸: Sandworm
Ikke mye kode å finne i denne npm-pakken. 📸: Sandworm Vis mer

Domenene det lenkes til i disse spam-pakkene endrer seg hele tiden, og kan være vanskelig å oppdage.

Rapporteres til npm

Sandworm ser også en økende trend i falske npm-pakker som lover gratis V-Bucks, en slags valuta som brukes i spillet Fortnite. Målet igjen er å få brukeren til å se annonser ved å la dem gå gjennom en rekke trinn som angivelig skal være for å verifisere at brukeren er et menneske.

Sandworm skriver at de er i ferd med å rapportere inn alle spam-pakkene de har oppdaget til npm.

– Vi mistenker at dette er bare toppen av isfjellet, siden vi har klart å identifisere mange pakker som har befunnet seg i npm-repoet i åresvis, skriver selskapet.