шкоднасныя пакеты npm - шкоднасныя пакеты pypi - шкоднасны код - справаздача аб шкоднасных праграмах - шкоднасныя праграмы npm - шкоднасныя праграмы pypi

Npm Malware Today: штотыднёвы дайджэст шкоднаснага кода

Npm malware today continues to evolve, with attackers publishing шкоднасны код, malicious npm packages, і PyPI malicious packages designed to target development workflows, CI/CD pipelines, and open-source ecosystems. The Дайджэст шкоднаснага кода is Xygeni’s ongoing research report that tracks and verifies real malicious packages across НПМ, PyPI, VS Code, і OpenVSX, including confirmed backdoors, data-stealers, credential exfiltration payloads, and automated multi-version malware campaigns.

Our research team updates this page regularly with validated findings, indicators of compromise (IOCs), мадэлі паводзін, і Тэхнічны аналіз. As a result, developers, AppSec teams, and security engineers can stay ahead of npm malware today and emerging malicious package activity impacting modern software supply chains.

NPM Malware Today: Weekly Summary 24–29 April 2026

Researchers confirmed 97 шкоднасных пакетаў across public registries during this period.

Dataset observations

  • Most confirmed packages were published in НПМ
  • Additional cases affected PyPI, OpenVSX, і кампазітар
  • Repeated malicious publishing across the same package families and related names
  • High or atypical version patterns such as 99.x, 99.9.x, і 1.0.x
  • Strong use of payment and checkout, enterpriseСтылі, internal web app, аналітыка, UI foundation, developer-tool, cloud-themed, і component-related шаблоны наймення
  • Multiple coordinated version bursts designed to resemble legitimate package updates

View the full weekly malware report →

Monthly Malware Report: Confirmed Malicious npm Packages in April 2026

Welcome to the latest edition of the Xygeni Malicious Code Digest (Monthly Edition). У Красавік 2026, our research team confirmed more than 250 malicious packages, у першую чаргу па НПМ, with additional cases affecting PyPI, VS Code, OpenVSX, and Composer.

April was not only about volume. Alongside automation-driven publishing waves, aggressive version inflation campaigns, package family clustering, і internal-tool impersonation, we observed some of the month’s most notable patterns in coordinated malicious publishing across:

fake internal tooling, AI-themed packages, payment and checkout modules, analytics clients, frontend components, developer utilities, Kubernetes and cloud tooling, VS Code and OpenVSX extensions, and trusted brand-like package names designed to blend into real software delivery pipelines.

These were not simple typosquatting incidents. Across the broader Красавіка dataset, we observed credential abuse patterns, supply chain manipulation, repeated namespace reuse, і coordinated malicious publishing designed to blend into real developer environments and software delivery pipelines.

Across the broader dataset, we continued to observe scripted multi-version publishing, inflated versioning schemes, payment- and enterprise-themed naming, AI- and agentic-themed package names, SDK and frontend component impersonation, internal-tool mimicry, and classic tactics such as блытаніна з залежнасцямі і выкраданне дадзеных.

This report is part of our ongoing Дайджэст шкоднаснага кода, where we validate new threats and provide дзейсны інтэлект , Каб дапамагчы DevSecOps teams stay ahead of рызыка ланцужка паставак праграмнага забеспячэння.

Экасістэма пакет дата
НПМpa-marked:99.1.10Красавік 27, 2026
pypimoonbit-locale-compat:0.2.3Красавік 27, 2026
НПМ@alfa.life.mapp/app.web:99.0.13Красавік 27, 2026
НПМ@sbt_gitverse/analytics-client:99.0.1Красавік 27, 2026
НПМ@frengki0707/google-cloud-clone:1.33.1Красавік 27, 2026
НПМ@alfa.life.mapp/app.web:99.0.14Красавік 27, 2026
НПМ@tochka-ui/foundation:99.0.2Красавік 27, 2026
openvsxarcane-spark/ubel:0.1.0Красавік 28, 2026
НПМ@2011-08-19/n:99.9.9Красавік 28, 2026
НПМ@frengki0707/google-cloud-clone:1.38.0Красавік 27, 2026

Як мы выяўляем шкоднасны код у шкоднасных праграмах npm і PyPI

Xygeni выкарыстоўвае шматслаёвыя метады для спынення шкоднаснага кода да яго распаўсюджвання. Па-першае, статычны аналіз кода выяўляе шаблоны заблытвання, схаваныя карысныя нагрузкі і злоўжыванне скрыптамі. Акрамя таго, усталёўваюцца паводніцкія аналізы пясочніцы. hooks, каманды часу выканання і хітрыкі захавання дадзеных. Акрамя таго, выяўленне машыннага навучання выяўляе шкоднасныя праграмы нулявога дня npm і варыянты шкоднасных праграм pypi, якія прапускаюць сканеры сігнатур. Нарэшце, сістэма ранняга папярэджання кантралюе публічныя рэпазіторыі ў рэжыме рэальнага часу, правярае вынікі і неадкладна папярэджвае каманды DevOps.

У выніку такое спалучэнне гарантуе, што распрацоўшчыкі атрымліваюць хуткую і дзейсную аналітыку, інтэграваную непасрэдна ў CI/CD працоўных працэсаў.

Чаму распрацоўшчыкам варта клапаціцца пра шкоднасныя npm-пакеты

Сучасныя пагрозы рэдка чакаюць выканання. Напрыклад, шкоднасныя npm-пакеты часта выконваюцца падчас усталёўкі, у той час як шкоднасныя pypi-пакеты хаваюць крадзеж токенаў або бэкдоры. Зламыснікі:

  • Ператварыце прыватныя рэпазітары GitHub у публічныя, каб скапіяваць іх.
  • Выкрадайце ўліковыя дадзеныя і сакрэты з дапамогай закадаваных карысных дадзеных.
  • Выкарыстоўвайце заблытаныя загрузнікі JavaScript для разгортвання праграм-вымагальнікаў або ботнетаў.

Фактычна, колькасць шкоднасных пакетаў з адкрытым зыходным кодам за адзін год вырасла на 156%. Такім чынам, каманды, якія абапіраюцца толькі на адкладзеныя патокі дадзеных або простыя сканеры, адстаюць.

Што адсочвае гэты справаздачу аб шкоднасных праграмах у npm і PyPI

Гэты дайджэст з'яўляецца цэнтральным пунктам для:

  • Пацверджаныя шкоднасныя npm-пакеты
  • Пацверджаныя шкоднасныя пакеты pypi
  • Выяўленне шкоднаснага кода на аснове паводзін
  • Пацверджаныя рэестрам інцыдэнты
  • Штотыднёвыя і штомесячныя справаздачы аб шкоднасных праграмах
  • Гістарычны спіс змяненняў усіх выяўленых шкоднасных праграм npm і pypi

Іншымі словамі, гэта адзіная кропка адліку. Даследчая група Xygeni штотыдзень абнаўляе гэтую старонку спасылкамі на поўны тэхнічны аналіз і спісы арыенціраў на GitHub.

Як абараніцца ад шкоднасных пакетаў npm і шкоднасных праграм PyPI

З-за гэтай расце рызыкі арганізацыям патрэбна нешта большае, чым проста базавая праверка залежнасцей. Моцная абарона ад шкоднасных npm-пакетаў і pypi патрабуе як прафілактычных мер, так і прымусовага выканання:

Прымусовае ўсталяванне толькі з дапамогай блакіроўкі файлаў для шкоднасных npm-пакетаў

Выкарыстоўваць npm ci or pip install --require-hashes in CI/CD.
Гэта гарантуе выкарыстанне дакладна таго дрэва залежнасцей, якое вызначана ў файлах блакіроўкі. У выніку зламыснікі не могуць падсунуць змененыя або пашкоджаныя версіі шкоднасных npm-пакетаў.

Папярэдняе сканаванне на наяўнасць шкоднасных праграм npm і PyPI

Інтэгруйце механізм ранняга папярэджання Xygeni для сканавання шкоднасных праграм npm і pypi, перш чым пакеты дасягнуць вашага асяроддзя.
Акрамя таго, выяўляць падазроныя postinstall скрыпты, заблытаныя загрузчыкі або жорстка закадаваныя URL-адрасы C2.

Guardrails блакаваць зборкі са шкоднасным кодам

Усталёўка guardrails аўтаматычна спыняць зборку, калі выяўляюцца пацверджаныя шкоднасныя пакеты npm або pypi.
Напрыклад, шкоднасны код ніколі не застаецца незаўважаным, бо яго ствараюць зборкі, якія не апублікаваныя, з шаблонамі заблытвання або супадзеннямі IOC.

Згенераваць і праверыць SBOMСупраць шкоднасных пакетаў npm і шкоднаснага ПЗ PyPI

Ствараць SBOMs (CycloneDX, SPDX) для кожнай зборкі.
Пасля гэтага параўнайце з вядомымі шкоднаснымі пакетамі npm і стужкамі шкоднасных праграм pypi, каб адсочваць як прамыя, так і транзітыўныя залежнасці.

Абарона ўліковых дадзеных і токенаў ад шкоднасных праграм npm і PyPI

Шматлікія шкоднасныя npm-пакеты спрабуюць чытаць .npmrc, .pypirc, або зменныя асяроддзя.
Таму запускайце зборкі ў кантэйнерах з мінімальнай колькасцю адкрытых сакрэтаў. Акрамя таго, выкарыстоўвайце менеджэры сакрэтаў замест зменных асяроддзя, каб блакаваць злоўжыванне шкоднасным кодам.

Маніторынг змяненняў рэестра і адміністратара ў шкоднасных npm-пакетах

Зламыснікі часта захопліваюць закінутыя праекты.
У прыватнасці, сачыце за раптоўнымі зменамі адміністратараў, незвычайнымі скачкамі версій або празмернай колькасцю публікацый шкоднасных праграм npm і шкоднасных пакетаў pypi.

Навучанне распрацоўшчыкаў па выяўленні шкоднаснага кода ў npm і PyPI

Навучыце каманды распазнаваць чырвоныя сцяжкі, такія як:

  • Назвы пакетаў з памылкамі друку (reqeust замест request).
  • незвычайны install or prepare скрыпты.
  • Нядаўна створаныя пакеты з падазрона высокімі нумарамі версій.
    Перш за ўсё, гэтая дасведчанасць дапамагае выяўляць шкоднасны код на ранняй стадыі.

Выяўленне анамалій падчас выканання для шкоднасных пакетаў npm і шкоднаснага ПЗ PyPI

Нават калі шкоднаснае праграмнае забеспячэнне абыходзіць статычныя праверкі, выяўленне падчас выканання ў CI/CD можа злавіць:

  • Нечаканыя сеткавыя падключэнні.
  • Мадыфікацыі файлавай сістэмы па-за межамі чаканых каталогаў.
  • Спробы захавання выканання на розных заданнях.
    Нарэшце, гэта гарантуе, што пагрозы шкоднасных праграм npm і pypi будуць спыненыя нават пасля ўсталёўкі.

Аб'ядноўваючы гэтыя элементы кіравання, каманды прадухіляюць трапленне шкоднасных пакетаў npm і pypi ў прадукцыйную версію. pipelines.

Паспрабуйце інструменты выяўлення шкоднасных праграм Xygeni

Ксігені пастаўляе:

  • Выяўленне шкоднаснага кода ў рэжыме рэальнага часу, у тым ліку бэкдораў, шпіёнскіх праграм і праграм-вымагальнікаў.
  • У адрозненне ад базавых сканераў, аналіз па npm, PyPI, Maven, NuGet, RubyGems і іншых.
  • Аўтаматычная блакіроўка зборкі, калі справаздача аб шкоднасным праграмным забеспячэнні выяўляе рызыку.
  • Аналіз уразлівасці, праверкі рэпутацыі адміністратара і выяўленне анамалій.

Будзьце ў курсе

Наша каманда абнаўляе гэтую старонку кожны тыдзень. Каб атрымліваць абвесткі і падрабязныя справаздачы:

  • Падпішыцеся на нашы бюлетэнь
  • прытрымлівацца @XygeniSecurity у LinkedIn
  • Дадайце гэтую старонку ў закладкі, каб сачыць за апошнімі навінамі шкоднаснае праграмнае забеспячэнне npm і шкоднасная праграма pypi пагрозы
інструменты-для-аналізу-складання-праграмнага ...
Прыярытэзуйце, ліквідуйце і абараняйце свае праграмныя рызыкі
Атрымайце свой бясплатны рахунак.
Не патрабуецца крэдытная карта.

Забяспечце распрацоўку і пастаўку праграмнага забеспячэння

з пакетам прадуктаў Xygeni