Nå er fem av syv npm-pakker ren søppel – skapt for å tjene kryptovaluta

"Perverse insentiver" kaller forskerne det å tjene penger gjennom bidrag til open source, som nå skaper en flom av spam på npm.

En av de mange npm-pakkene Phylum mener er ren søppel, med et tilfeldig navn, bare lasta opp for å tjene penger gjennom tea. 📸: Ole Petter Baugerød Stokke
En av de mange npm-pakkene Phylum mener er ren søppel, med et tilfeldig navn, bare lasta opp for å tjene penger gjennom tea. 📸: Ole Petter Baugerød Stokke Vis mer

At det er mye søppel på npm, pakkebehandleren og GitHubs datterselskap, er en kjent sak.

Og i fjor meldte kode24 at npm «oversvømmes av svindel og spam», da selskapet Sandworm publiserte tall som viste at halvparten av nye pakker som lastes opp er ren søppel.

Nå har selskapet Phylum, som tilbyr sikkerhetsløsninger for å hindre problemer ved bruk av nettopp open source-pakker, også sett nærmere på saken. Og kommet fram til noe enda mer nedslående:

De siste seks månedene var fem av syv npm-pakker ren søppel.

40.000 nye pakker på én dag

Phylum går gjennom npm-pakker som en del av arbeidet sitt med sikkerhet, og skriver i et blogginnlegg at de i starten av 2024 behandla rundt 1.500 pakker hver arbeidsdag fra npm.

Men ganske snart begynte tallet å øke, til flere titusener hver dag, med en topp på hele 48.000 nye pakker på én dag.

Av disse skal mellom 68 og 75 prosent være det de kaller for spam – ren søppel, helt uten mening for brukere, ofte med helt tilfeldige navn, med meningsløs eller ingen kode, og bare lasta opp på npm for én ting.

Fra kode til krypto

Tidligere har npm-spam ofte handla om SEO: Pakkene lokker til seg trafikk fra Google, bare for å lokke ofrene videre gjennom readme-filer.

Andre ganger har pakkene onde hensikter, altså for å lure deg til å dra inn skadelig kode i prosjektene dine.

Men det aller meste av søppelet Phylum mener å ha avdekka nå, handler ifølge dem om noe helt annet: Å tjene kryptovaluta, gjennom tea.

Vis mer
  • tea, som du finner på tea.xyz og kaller seg selv en web3-plattform, vil gi open source-utviklere betaling for slitet sitt – som er en gjennomgående og kjent problemstilling i bransjen.
  • Måten dette gjøres på, er å la koden din fra for eksempel npm kjøres gjennom tea-protokollen, som avgjør hvor stort bidrag du og koden din har gjort til open source-økosystemet.
  • Nøyaktig hvordan utviklerne blir godgjort for arbeidet sitt, er for oss noe uklart, men så langt vi forstår skal du, kort fortalt, motta kryptovaluttaen TEA Tokens.

Bidrag til open source inn, kryptovaluta ut, altså. Jo flere bidrag, jo mer krypto, og vipps, så har vi en situasjon hvor folk laster opp søppel til npm for å tjene penger.

"Perverst"

Phylum kaller tea sitt opplegg for "perverse insentiver", som i belønning som belønner feil oppførsel.

Tea-protokollen tar grep for å stoppe dette problemet, for det ville vært urettferdig for de legitime deltakerne å få redusert godtgjørelsen sin fordi andre svindler systemet, skriver Pylum.

– I tillegg har npm begynt å fjerne noen av disse spammerne, men det fjernes ikke raskt nok for å svare på hvor mye som publiseres, fortsetter de.

– Og dette problemet er ikke begrenset til npm alene. For eksempel publiserte en bruker nesten 1.800 spampakker på Rubygems i slutten av februar og begynnelsen av mars 2024.