Jede Woche scannen unsere Malware-Erkennungssysteme Tausende neuer und aktualisierter Pakete in öffentlichen Registern wie npm und PyPI. Dieses Mal bestätigten wir über 80 Schadpakete, von Typosquatting und Anmeldeinformationsdiebstahl bis hin zu Backdoor-Bibliotheken, die darauf ausgelegt sind, einfache Scanner zu umgehen.
Dieser wöchentliche Schnappschuss ist Teil unserer laufenden Übersicht über bösartigen Code, wo wir kontinuierlich Erkenntnisse veröffentlichen, neu auftretende Bedrohungen bestätigen und DevSecOps-Teams dabei helfen, ihre pipelines, bevor Schaden entsteht. Wenn Sie den vollständigen Kontext aller bestätigten Pakete und vergangenen Vorfälle wünschen, lesen Sie unbedingt die vollständige Übersicht.
Lassen Sie uns zusammenfassen, was wir diese Woche herausgefunden haben und warum es wichtig ist.
| Ökosystem | Verpackung | Datum |
|---|---|---|
| npm | cdd-plugin-for-datawarrior:8.0.0 | 30. Dezember 2025 |
| npm | @ikarem/telemetry:100.0.6 | 30. Dezember 2025 |
| npm | @ikarem/telemetry:100.0.7 | 30. Dezember 2025 |
| npm | @ikarem/telemetry:100.0.8 | 30. Dezember 2025 |
| npm | baas-admin-sdk:20.0.0 | 30. Dezember 2025 |
| npm | npm-xmt:1.0.1 | 30. Dezember 2025 |
| npm | @ikarem/telemetry:100.1.0 | 30. Dezember 2025 |
| npm | @ikarem/telemetry:100.1.1 | 30. Dezember 2025 |
| npm | @ikarem/telemetry:100.1.11 | 30. Dezember 2025 |
| npm | github-badge-bot:1.6.0 | 28. Dezember 2025 |
| npm | github-badge-bot:1.6.1 | 28. Dezember 2025 |
| npm | github-badge-bot:1.6.2 | 28. Dezember 2025 |
| npm | github-badge-bot:1.6.3 | 28. Dezember 2025 |
| npm | github-badge-bot:1.6.4 | 28. Dezember 2025 |
| npm | github-badge-bot:1.6.6 | 28. Dezember 2025 |
| npm | github-badge-bot:1.6.7 | 28. Dezember 2025 |
| npm | github-badge-bot:1.6.8 | 28. Dezember 2025 |
| npm | github-badge-bot:1.6.9 | 28. Dezember 2025 |
| npm | github-badge-bot:1.7.0 | 28. Dezember 2025 |
| npm | github-badge-bot:1.7.1 | 28. Dezember 2025 |
| npm | github-badge-bot:1.7.2 | 28. Dezember 2025 |
| npm | github-badge-bot:1.7.3 | 28. Dezember 2025 |
| npm | github-badge-bot:1.7.4 | 28. Dezember 2025 |
| npm | github-badge-bot:1.7.5 | 28. Dezember 2025 |
| npm | github-badge-bot:1.7.6 | 28. Dezember 2025 |
| npm | github-badge-bot:1.7.7 | 28. Dezember 2025 |
| npm | github-badge-bot:1.7.8 | 28. Dezember 2025 |
| npm | github-badge-bot:1.7.9 | 28. Dezember 2025 |
| npm | github-badge-bot:1.8.0 | 28. Dezember 2025 |
| npm | github-badge-bot:1.8.1 | 28. Dezember 2025 |
| npm | github-badge-bot:1.8.3 | 28. Dezember 2025 |
| npm | github-badge-bot:1.8.4 | 28. Dezember 2025 |
| npm | github-badge-bot:1.8.5 | 28. Dezember 2025 |
| npm | github-badge-bot:1.8.6 | 28. Dezember 2025 |
| npm | github-badge-bot:1.8.7 | 28. Dezember 2025 |
| npm | github-badge-bot:1.8.8 | 28. Dezember 2025 |
| npm | github-badge-bot:1.8.9 | 28. Dezember 2025 |
| npm | github-badge-bot:1.9.0 | 28. Dezember 2025 |
| npm | github-badge-bot:1.9.1 | 28. Dezember 2025 |
| npm | github-badge-bot:1.9.2 | 28. Dezember 2025 |
| npm | github-badge-bot:1.9.3 | 28. Dezember 2025 |
| npm | github-badge-bot:1.9.4 | 28. Dezember 2025 |
| npm | github-badge-bot:1.9.5 | 28. Dezember 2025 |
| npm | github-badge-bot:1.10.0 | 28. Dezember 2025 |
| npm | github-badge-bot:1.10.1 | 28. Dezember 2025 |
| npm | github-badge-bot:1.10.2 | 28. Dezember 2025 |
| npm | github-badge-bot:1.10.3 | 28. Dezember 2025 |
| npm | github-badge-bot:1.10.4 | 28. Dezember 2025 |
| npm | github-badge-bot:1.11.0 | 28. Dezember 2025 |
| npm | github-badge-bot:1.11.1 | 28. Dezember 2025 |
| npm | github-badge-bot:1.11.2 | 28. Dezember 2025 |
| npm | github-badge-bot:1.11.3 | 28. Dezember 2025 |
| npm | github-badge-bot:1.11.4 | 28. Dezember 2025 |
| npm | github-badge-bot:1.11.5 | 28. Dezember 2025 |
| npm | github-badge-bot:1.11.6 | 28. Dezember 2025 |
| npm | github-badge-bot:1.11.7 | 28. Dezember 2025 |
| npm | github-badge-bot:1.12.0 | 28. Dezember 2025 |
| npm | github-badge-bot:1.12.1 | 28. Dezember 2025 |
| npm | github-badge-bot:1.12.2 | 28. Dezember 2025 |
| npm | github-badge-bot:1.12.3 | 28. Dezember 2025 |
| npm | github-badge-bot:1.12.4 | 28. Dezember 2025 |
| npm | github-badge-bot:1.12.5 | 28. Dezember 2025 |
| npm | github-badge-bot:1.13.0 | 28. Dezember 2025 |
| npm | github-badge-bot:1.13.1 | 28. Dezember 2025 |
| npm | github-badge-bot:1.14.1 | 28. Dezember 2025 |
| npm | tiny-model-update:1.16.0 | 28. Dezember 2025 |
| npm | tiny-model-update:1.16.1 | 28. Dezember 2025 |
| npm | tiny-model-update:1.16.2 | 28. Dezember 2025 |
| npm | tiny-model-update:1.16.4 | 28. Dezember 2025 |
| npm | tiny-model-update:1.16.5 | 28. Dezember 2025 |
| npm | tiny-model-update:1.17.0 | 28. Dezember 2025 |
| npm | tiny-model-update:1.17.1 | 28. Dezember 2025 |
| npm | tiny-model-update:1.17.2 | 28. Dezember 2025 |
| npm | tiny-model-update:1.17.4 | 28. Dezember 2025 |
| npm | tiny-model-update:1.18.0 | 28. Dezember 2025 |
| npm | tiny-model-update:1.18.2 | 28. Dezember 2025 |
| npm | tiny-model-update:1.18.3 | 28. Dezember 2025 |
| npm | Schwimmkit:20.1.1 | 30. Dezember 2025 |
| npm | eb-csr:9.1.143 | 30. Dezember 2025 |
Schützen Sie Ihre Open-Source-Abhängigkeiten vor Schwachstellen und Schadcode
Minimieren Sie Risiken und schützen Sie Ihre Anwendungen vor schädlichen Paketen mit Xygeni Früherkennung von Malware. Priorisieren und beheben Sie die Schwachstellen, die am wichtigsten sind. Unsere umfassende Lösung bietet Echtzeitüberwachung Ihrer Abhängigkeiten, um Bedrohungen zu erkennen und zu entschärfen, bevor sie sich auf Ihre Software auswirken.
Die Verwaltung von Open-Source-Komponenten ist in der aktuellen Softwareentwicklungslandschaft aufgrund der zunehmenden Schwachstellen und Bedrohungen durch Schadcode von entscheidender Bedeutung. Open Source Security Die Lösung scannt und blockiert schädliche Pakete bei der Veröffentlichung und minimiert so das Risiko, dass Malware und Schwachstellen in Ihre Systeme eindringen. Unsere umfassende Überwachung erstreckt sich über mehrere öffentliche Register und stellt sicher, dass alle Abhängigkeiten auf Sicherheit und Integrität geprüft werden. Xygeni verbessert die Fähigkeit Ihres Teams, sichere und zuverlässige Softwareprojekte aufrechtzuerhalten, indem es kritische Probleme kontextbezogen priorisiert und optimierte Behebungsprozesse ermöglicht.
Xygeni nutzt mehrschichtige Techniken, um Schadcode zu stoppen, bevor er sich ausbreitet. Zunächst erkennt die statische Codeanalyse Verschleierungsmuster, versteckte Payloads und Skriptmissbrauch. Darüber hinaus installieren verhaltensbasierte Sandboxing-Analysen hooks, Laufzeitbefehle und Persistenztricks. Darüber hinaus identifiziert die Erkennung durch maschinelles Lernen Zero-Day-NPM-Malware und PYPI-Malware-Varianten, die von Signaturscannern übersehen wurden. Schließlich überwacht das Frühwarnsystem öffentliche Repositories in Echtzeit, validiert Ergebnisse und alarmiert DevOps-Teams sofort.
Diese Kombination stellt sicher, dass Entwickler schnelle, umsetzbare Informationen erhalten, die direkt in CI/CD zum Arbeitsablauf
Warum Entwickler sich vor schädlichen npm-Paketen in Acht nehmen sollten
Moderne Bedrohungen warten selten auf die Laufzeit. Beispielsweise werden bösartige npm-Pakete oft während der Installation ausgeführt, während bösartige pypi-Pakete Token-Exfiltration oder Hintertüren verbergen. Angreifer:
- Machen Sie private GitHub-Repos zu öffentlichen, um sie zu replizieren.
- Exfiltrieren Sie Anmeldeinformationen und Geheimnisse mithilfe verschlüsselter Nutzdaten.
- Verwenden Sie verschleierte JavaScript-Loader, um Ransomware oder Botnets einzusetzen.
Tatsächlich stieg die Zahl bösartiger Open-Source-Pakete innerhalb eines Jahres um 156 %. Teams, die sich lediglich auf verzögerte Feeds oder einfache Scanner verlassen, geraten daher ins Hintertreffen.
Was dieser Malware-Bericht in npm und PyPI verfolgt
Dieser Digest ist der zentrale Knotenpunkt für:
- Bestätigte bösartige npm-Pakete
- Bestätigte schädliche pypi-Pakete
- Verhaltensbasierte Erkennung von Schadcode
- Im Register bestätigte Vorfälle
- Wöchentliche und monatliche Malware-Berichtszusammenfassungen
- Historisches Änderungsprotokoll aller NPM-Malware- und PyPI-Malware-Funde
Mit anderen Worten: Es bietet einen einzigen Bezugspunkt. Das Forschungsteam von Xygeni aktualisiert diese Seite wöchentlich mit Links zu vollständigen technischen Analysen und GitHub IOCs.
So schützen Sie sich vor schädlichen npm-Paketen und PyPI-Malware
Aufgrund dieses wachsenden Risikos, Organisationen brauchen starke Abwehrmaßnahmen:
- Erzwingen Sie ausschließlich Lockfile-Installationen (
npm ci) in CI/CD. - Darüber hinaus können Sie Abhängigkeiten vorab mit der Early Warning Engine von Xygeni scannen.
- Darüber hinaus blockieren Sie Builds auf bösartigen Codesignalen mithilfe von Guardrails.
- Generieren SBOMs zum Verfolgen indirekter Abhängigkeiten und Anwenden von Richtlinien.
- Schulen Sie Entwickler vor allem darin, Typosquatting, Verschleierung und verdächtige Installationsskripte zu erkennen.
Testen Sie die Malware-Erkennungstools von Xygeni
Xygeni bietet:
- Echtzeiterkennung von Schadcode, einschließlich Backdoors, Spyware und Ransomware.
- Im Gegensatz zu einfachen Scannern, Analyse über npm, PyPI, Maven, NuGet, RubyGems und mehr.
- Automatische Build-Blockierung, wenn der Malware-Bericht ein Risiko erkennt.
- Einblicke in die Ausnutzbarkeit, Überprüfung der Reputation des Betreuers und Anomalieerkennung.
