Unsere Malware-Erkennungssysteme scannen jede Woche Tausende von neuen und aktualisierten Paketen in öffentlichen Registries wie npm und PyPI.
Diese Woche war besonders ereignisreich.
Wir haben 220 schädliche Pakete auf npm, PyPI, VS Code und OpenVSX bestätigt. Mehrere davon traten in koordinierten Clustern auf, wobei wiederholt schädliche Versionen unter denselben Namen oder in eng verwandten Paketfamilien veröffentlicht wurden. Viele gaben sich als KI-Dienstprogramme aus. enterprise-frontale Module, interne Tools, SDKs, Frontend-Komponenten und Entwickler-Workflow-Pakete.
Über die Bestätigung hinaus 220 SchadpaketeDiese Woche bestätigten sich auch die umfassenderen Muster in der Software-Lieferkette, die wir bereits beobachtet haben, darunter:
Es handelte sich nicht um vereinzelte Ausnahmen. Besonders auffällig in dieser Woche war das Ausmaß der wiederholten Veröffentlichungen, die Wiederverwendung von Namensmustern und die Art und Weise, wie schädliche Pakete so platziert wurden, dass sie wie legitime Abhängigkeiten in der eigentlichen Softwareauslieferung aussahen. pipelines.
Diese wöchentliche Momentaufnahme ist Teil unseres fortlaufenden Malicious Code Digest, in dem wir neue Bedrohungen bestätigen und umsetzbare Informationen bereitstellen, um DevSecOps-Teams beim Schutz ihrer Infrastruktur zu unterstützen. pipelines bevor Schaden entsteht.
Lassen Sie uns zusammenfassen, was wir diese Woche herausgefunden haben und warum es wichtig ist.
| Ökosystem | Verpackung | Datum |
|---|---|---|
| Abonnieren | parascode:1.1.2 | 27. März 2026 |
| npm | @ctfsolve9z/coral-wraith:9999.0.2 | 25. März 2026 |
| npm | coral-wraith:9999.0.2 | 25. März 2026 |
| npm | wraith-of-war:9999.0.0 | 25. März 2026 |
| npm | stormbreaker-shade:9999.0.3 | 25. März 2026 |
| npm | coral-wraith:9999.0.8 | 25. März 2026 |
| npm | Ghost-Engine:99.0.0 | 25. März 2026 |
| npm | ecto-phantom:99.0.0 | 25. März 2026 |
| npm | ecto-engine:99.0.0 | 25. März 2026 |
| npm | corsair-module:99.0.0 | 25. März 2026 |
| npm | spectral-module:99.0.0 | 25. März 2026 |
| npm | ecto-spirit:100.0.0 | 25. März 2026 |
| npm | ghost-module:99.0.0 | 25. März 2026 |
| npm | ecto-corsair-lwirz:100.0.0 | 25. März 2026 |
| npm | spectral-module:100.0.0 | 25. März 2026 |
| npm | ghost-module:100.0.0 | 25. März 2026 |
| npm | ecto-spirit:101.0.0 | 25. März 2026 |
| npm | spectral-module:101.0.0 | 25. März 2026 |
| npm | ecto-spirit:104.0.0 | 25. März 2026 |
| npm | ecto-spirit:105.0.0 | 25. März 2026 |
| npm | ecto-spirit:106.0.0 | 25. März 2026 |
| npm | wraith-module:99.0.0 | 25. März 2026 |
| npm | wraith-module:102.0.0 | 25. März 2026 |
| npm | phantom-module:107.0.0 | 25. März 2026 |
| npm | ecto-engine:200.0.0 | 25. März 2026 |
| npm | corsair-module:200.0.0 | 25. März 2026 |
| npm | ecto-spirit:109.0.0 | 25. März 2026 |
| npm | phantom-module:117.0.0 | 25. März 2026 |
| npm | phantom-module:111.0.4 | 25. März 2026 |
| npm | phantom-module:111.0.7 | 25. März 2026 |
| npm | phantom-module:111.0.9 | 25. März 2026 |
| npm | phantom-module:111.0.29 | 25. März 2026 |
| npm | phantom-module:117.0.7 | 25. März 2026 |
| npm | phantom-module:117.0.9 | 25. März 2026 |
| npm | ecto-spirit:120.0.3 | 25. März 2026 |
| npm | ecto-spirit:120.0.7 | 25. März 2026 |
| npm | ecto-spirit:120.0.8 | 25. März 2026 |
| npm | ecto-spirit:120.0.9 | 25. März 2026 |
| npm | phantom-module:123.0.0 | 25. März 2026 |
| npm | ecto-spirit:120.2.1 | 25. März 2026 |
| Abonnieren | shopyo-dashboard: 1.5.0 | 27. März 2026 |
| npm | @immuta/pxl-components:99.99.0 | 27. März 2026 |
| npm | @immuta/flag-providers-web:99.99.0 | 27. März 2026 |
| npm | @adamallana0909/apple-research-test:99.9.21 | 27. März 2026 |
| npm | @appleseed-apple/ac-sass-kit:100.0.2 | 27. März 2026 |
| npm | apple-internal-telemetry-agent:100.0.1 | 27. März 2026 |
| npm | corp-utils:9.9.9 | 27. März 2026 |
| npm | ac-dom-nodes:1.9.1 | 27. März 2026 |
| npm | soul-ai:1.10.4 | 27. März 2026 |
| npm | rtxaspnet:1.0.0 | 27. März 2026 |
| npm | estaspnet:1.0.0 | 27. März 2026 |
| npm | ac-element-engagement:3.0.1 | 27. März 2026 |
| npm | @ghackk/multi-claude:1.0.0 | 25. März 2026 |
| Abonnieren | multi-claude:1.0.0 | 25. März 2026 |
| npm | cw-isdk:22.0.0 | 25. März 2026 |
| npm | cw-isdk:23.0.0 | 25. März 2026 |
| npm | cw-isdk:31.0.0 | 25. März 2026 |
| npm | cw-isdk:32.0.0 | 25. März 2026 |
| Abonnieren | multi-claude:1.0.8 | 25. März 2026 |
| npm | cw-isdk:40.0.5 | 25. März 2026 |
| npm | cw-isdk:40.0.7 | 25. März 2026 |
| npm | cw-isdk:40.0.9 | 25. März 2026 |
| npm | cw-isdk:40.0.8 | 25. März 2026 |
| Abonnieren | multi-claude:1.0.12 | 25. März 2026 |
| Abonnieren | multi-claude:1.0.14 | 25. März 2026 |
| npm | @ghackk/multi-claude:1.0.14 | 25. März 2026 |
| npm | envseed:0.3.3 | 26. März 2026 |
| Abonnieren | Pymnemonik:1.1.3 | 27. März 2026 |
| Abonnieren | Pymnemonik:1.2.5 | 27. März 2026 |
| npm | native_dep:99.10.0 | 27. März 2026 |
| Abonnieren | multi-claude:1.0.16 | 25. März 2026 |
| npm | test_pkg_forppe:1.0.0 | 25. März 2026 |
| npm | @ghackk/multi-claude:1.0.17 | 25. März 2026 |
| Abonnieren | multi-claude:1.0.17 | 25. März 2026 |
| Abonnieren | multi-claude:1.0.18 | 25. März 2026 |
| npm | @ghackk/multi-claude:1.0.19 | 25. März 2026 |
| npm | @ghackk/multi-claude:1.0.20 | 25. März 2026 |
| Abonnieren | multi-claude:1.0.20 | 25. März 2026 |
| npm | @ghackk/multi-claude:1.0.21 | 25. März 2026 |
| npm | @ghackk/multi-claude:1.0.22 | 25. März 2026 |
| Abonnieren | multi-claude:1.0.22 | 25. März 2026 |
| npm | @ghackk/multi-claude:1.0.23 | 25. März 2026 |
| Abonnieren | header-spoofer:3.0.1 | 27. März 2026 |
| npm | ahhc:1.1.0 | 27. März 2026 |
| npm | ahmed_salem_ph:1.0.4 | 27. März 2026 |
| npm | @cdktf-constructs/azure-resourcegroup:2.3.0 | 27. März 2026 |
| npm | @promptions/promptions-ui:1.3.0 | 27. März 2026 |
| npm | @promptions/promptions-image:1.3.0 | 27. März 2026 |
| npm | @promptions/promptions-llm:1.3.0 | 27. März 2026 |
| npm | @promptions/promptions-chat:1.3.0 | 27. März 2026 |
| npm | local-rules:2.0.0 | 27. März 2026 |
| npm | envseed:0.3.4 | 26. März 2026 |
| npm | whatfix-icons:7.0.0 | 28. März 2026 |
| npm | navi-design-system:7.0.0 | 27. März 2026 |
| npm | declarative-tracker:9999.0.0 | 28. März 2026 |
| npm | navi-design-system:99.1.0 | 27. März 2026 |
| npm | rosud-call:2.0.7 | 25. März 2026 |
| npm | rosud-call:2.0.9 | 25. März 2026 |
| npm | rosud-call:2.1.2 | 25. März 2026 |
| npm | rosud-call:2.1.1 | 25. März 2026 |
| npm | rosud-call:2.1.4 | 25. März 2026 |
| npm | rosud-call:2.1.0 | 25. März 2026 |
| npm | rosud-call:2.3.0 | 25. März 2026 |
| npm | buildkite-test-collector-vitest-example:99.99.9 | 26. März 2026 |
| npm | buildkite-test-collector-playwright-example:99.99.9 | 26. März 2026 |
| npm | buildkite-test-collector-cypress-example:99.99.9 | 26. März 2026 |
| npm | nf-cl-ls:99.0.0 | 26. März 2026 |
| npm | nf-cl-ls:99.0.1 | 26. März 2026 |
| npm | wn-idv-persona-client:99.0.4 | 26. März 2026 |
| npm | nflx-release:99.0.1 | 26. März 2026 |
| npm | rosud-call:2.4.4 | 25. März 2026 |
| Abonnieren | playground-ls-core:2026.3.0 | 26. März 2026 |
| OpenVSX | minherz/copyright-inserter:20.1.0 | 26. März 2026 |
| OpenVSX | marshallofsound/gnls-electron:20.1.0 | 26. März 2026 |
| OpenVSX | abronan/capnproto-syntax:20.1.0 | 26. März 2026 |
| npm | rosud-call:2.4.6 | 25. März 2026 |
| npm | rosud-call:2.4.7 | 25. März 2026 |
| npm | rosud-call:2.4.8 | 25. März 2026 |
| npm | rosud-call:2.4.9 | 25. März 2026 |
| npm | bic-seo:99.0.0 | 26. März 2026 |
| npm | delphoi:1.8.2 | 26. März 2026 |
| npm | ty-web-session:3.0.1 | 26. März 2026 |
| npm | sfx-data:2.1.0 | 26. März 2026 |
| npm | ty-web-session:3.0.2 | 26. März 2026 |
| npm | rosud-call:2.4.11 | 25. März 2026 |
| npm | int-browsing-gateway:1.0.4 | 26. März 2026 |
| npm | delphoi-service:2.1.0 | 26. März 2026 |
| npm | sfx-fragment-injector:0.9.3 | 26. März 2026 |
| npm | @emilgroup/task-sdk-node:1.0.3 | 26. März 2026 |
| npm | @emilgroup/partner-portal-sdk:1.1.2 | 26. März 2026 |
| npm | @emilgroup/changelog-sdk-node:1.0.2 | 26. März 2026 |
| npm | @emilgroup/document-sdk-node:1.43.6 | 26. März 2026 |
| npm | @emilgroup/commission-sdk-node:1.0.3 | 26. März 2026 |
| npm | react-leaflet-heatmap-layer:2.0.1 | 26. März 2026 |
| npm | @virtahealth/substrate-root:1.0.1 | 26. März 2026 |
| npm | @opengov/form-renderer:0.2.20 | 26. März 2026 |
| npm | opengov-k6-core:1.0.2 | 26. März 2026 |
| npm | eslint-config-service-users:0.0.3 | 26. März 2026 |
| npm | @leafnoise/mirage:2.0.3 | 26. März 2026 |
| npm | @pypestream/floating-ui-dom:2.15.1 | 26. März 2026 |
| Abonnieren | gam7:7.38.0 | 26. März 2026 |
| vscode | darkgptaistudio:0.1.0 | 26. März 2026 |
| npm | rosud-call:2.5.0 | 25. März 2026 |
| npm | nintendoamerica-ncom:1.0.2 | 24. März 2026 |
| npm | nintendoamerica-ncom:1.0.5 | 24. März 2026 |
| npm | repo-typescript-config:99.0.0 | 24. März 2026 |
| npm | yelp-react-component-badge:99.0.0 | 24. März 2026 |
| npm | yelp-react-component-badge:99.0.3 | 24. März 2026 |
| npm | yelp-react-component-badge:99.0.4 | 24. März 2026 |
| npm | nintendoamerica-ncom:99.0.7 | 24. März 2026 |
| npm | nintendoamerica-ncom:99.0.16 | 24. März 2026 |
| npm | nintendoamerica-ncom:99.0.19 | 24. März 2026 |
| npm | nintendoamerica-ncom:99.0.21 | 24. März 2026 |
| npm | @anh3d0nic/qwen-code-termux-ice:1.1.0 | 26. März 2026 |
| npm | characterai-poc:1.0.0 | 26. März 2026 |
| npm | Rollcode: 0.0.1 | 26. März 2026 |
| npm | @bluemoon-o2/rollcode:0.0.1 | 26. März 2026 |
| npm | repo-typescript-config:99.0.11 | 24. März 2026 |
| npm | repo-typescript-config:99.0.12 | 24. März 2026 |
| npm | infinity-ai:1.2.0 | 26. März 2026 |
| Abonnieren | insurance-db-mcp:1.0.4 | 26. März 2026 |
| npm | infinity-ai:1.2.5 | 26. März 2026 |
| npm | infinity-ai:1.2.6 | 26. März 2026 |
| npm | @thiagoemmanuell/unhandledrejection:1.0.0 | 26. März 2026 |
| npm | unbehandelte Ablehnung 1:1.0.2 | 26. März 2026 |
| vscode | kensuketheme:0.0.1 | 26. März 2026 |
| npm | twilio-voice-notification-server:9.9.9 | 26. März 2026 |
| npm | repo-typescript-config:99.0.29 | 24. März 2026 |
| Abonnieren | litellm:1.82.7 | 25. März 2026 |
| npm | repo-typescript-config:99.0.36 | 24. März 2026 |
| Abonnieren | litellm:1.82.8 | 25. März 2026 |
| npm | sunshine-tool-helper:1.0.0 | 26. März 2026 |
| npm | react-appfabric-shell:0.6.0 | 26. März 2026 |
| npm | insomnia-api:99.0.0 | 26. März 2026 |
| npm | insomnia-api:99.0.1 | 26. März 2026 |
| npm | insomnia-scripting-environment:99.0.1 | 26. März 2026 |
| npm | hardhat-starter-kit:99.0.1 | 26. März 2026 |
| npm | chainlink-docs:99.0.1 | 26. März 2026 |
| npm | pil2-stark-js:99.0.1 | 26. März 2026 |
| npm | chainlink-tron:99.0.1 | 26. März 2026 |
| npm | deployer-kit:99.0.1 | 26. März 2026 |
| npm | pil2-proofman-js:99.0.1 | 26. März 2026 |
| npm | ccip-starter-kit-hardhat:99.0.1 | 26. März 2026 |
| npm | simple-util-kit:1.0.2 | 25. März 2026 |
| npm | envseed:0.3.10 | 26. März 2026 |
| npm | envseed:0.3.11 | 26. März 2026 |
| npm | envseed:0.3.14 | 26. März 2026 |
| npm | envseed:0.3.16 | 26. März 2026 |
| npm | envseed:0.3.18 | 26. März 2026 |
| npm | envseed:0.3.21 | 26. März 2026 |
| npm | envseed:0.3.22 | 26. März 2026 |
| npm | envseed:0.3.23 | 26. März 2026 |
| npm | envseed:0.3.25 | 26. März 2026 |
| npm | envseed:0.3.26 | 26. März 2026 |
| npm | srcsrctest:1.0.1 | 26. März 2026 |
| npm | srcsrctest:1.0.5 | 26. März 2026 |
| npm | folio-data-utils:1.0.0 | 27. März 2026 |
| npm | xpna-context:1.0.0 | 27. März 2026 |
| npm | react-appfabric-shell:0.6.1 | 28. März 2026 |
| npm | promethios-bridge:1.7.0 | 28. März 2026 |
| npm | promethios-bridge:1.7.5 | 28. März 2026 |
| npm | autoshipment-public-front:99.99.0 | 31. März 2026 |
| npm | promethios-bridge:1.7.7 | 30. März 2026 |
| npm | promethios-bridge:1.7.9 | 30. März 2026 |
| npm | promethios-bridge:1.8.0 | 30. März 2026 |
| npm | daytona-test-npm:1.0.0 | 30. März 2026 |
| npm | spr-i18n-labels:1.0.4 | 30. März 2026 |
| npm | package-with-import-assertions:99.0.0 | 30. März 2026 |
| npm | separadordeinfo:1.0.0 | 30. März 2026 |
| npm | spr-i18n-labels:1.0.5 | 29. März 2026 |
| npm | sn3akysnak3-test:1.0.0 | 29. März 2026 |
| npm | sn3akysnak3-test:1.0.1 | 29. März 2026 |
| npm | dial-app-version:9999.0.0 | 29. März 2026 |
| npm | bizsignupnodeweb:99.10.9 | 29. März 2026 |
| npm | bizsignupnodeweb:99.11.9 | 29. März 2026 |
| npm | sn3akysnak3-test:1.0.2 | 29. März 2026 |
| npm | dial-app-version:9999.0.1 | 29. März 2026 |
| npm | dial-app-version:9999.0.3 | 29. März 2026 |
| npm | cardreadermgmtserv:99.13.9 | 29. März 2026 |
| npm | Geschäftsdaten: 99.13.9 | 29. März 2026 |
| npm | f0-state-manager:99.13.9 | 29. März 2026 |
| npm | nemo-datadrive:99.13.9 | 29. März 2026 |
| npm | merchservicingnodeserv:99.13.9 | 29. März 2026 |
| npm | idaasfinancialnodeserv:99.13.9 | 29. März 2026 |
| npm | f0-fpti-tracking:99.13.9 | 29. März 2026 |
| npm | f0-E-Mail-Verifizierung:99.13.9 | 29. März 2026 |
| npm | Länderspezialisierung: 99.13.9 | 29. März 2026 |
| npm | promethios-bridge:2.0.1 | 29. März 2026 |
| npm | promethios-bridge:2.1.2 | 29. März 2026 |
| npm | promethios-bridge:2.1.5 | 29. März 2026 |
| npm | promethios-bridge:2.1.7 | 29. März 2026 |
| npm | promethios-bridge:2.1.8 | 30. März 2026 |
| npm | bos-decoration-elements:9.0.0 | 30. März 2026 |
| npm | promethios-bridge:2.2.0 | 30. März 2026 |
| npm | earthengine-api:9.0.0 | 30. März 2026 |
| npm | characterai-poc:1.0.0 | 31. März 2026 |
| npm | @thiagoemmanuell/unhandledrejection:1.0.0 | 31. März 2026 |
| npm | envseed:0.3.14 | 31. März 2026 |
| npm | rosud-call:2.4.7 | 31. März 2026 |
| npm | envseed:0.3.18 | 31. März 2026 |
| npm | insomnia-api:99.0.0 | 31. März 2026 |
Schützen Sie Ihre Open-Source-Abhängigkeiten vor Schwachstellen und Schadcode
Minimieren Sie Risiken und schützen Sie Ihre Anwendungen vor schädlichen Paketen mit Xygeni Früherkennung von Malware. Priorisieren und beheben Sie die Schwachstellen, die am wichtigsten sind. Unsere umfassende Lösung bietet Echtzeitüberwachung Ihrer Abhängigkeiten, um Bedrohungen zu erkennen und zu entschärfen, bevor sie sich auf Ihre Software auswirken.
Die Verwaltung von Open-Source-Komponenten ist in der aktuellen Softwareentwicklungslandschaft aufgrund der zunehmenden Schwachstellen und Bedrohungen durch Schadcode von entscheidender Bedeutung. Open Source Security Die Lösung scannt und blockiert schädliche Pakete bei der Veröffentlichung und minimiert so das Risiko, dass Malware und Schwachstellen in Ihre Systeme eindringen. Unsere umfassende Überwachung erstreckt sich über mehrere öffentliche Register und stellt sicher, dass alle Abhängigkeiten auf Sicherheit und Integrität geprüft werden. Xygeni verbessert die Fähigkeit Ihres Teams, sichere und zuverlässige Softwareprojekte aufrechtzuerhalten, indem es kritische Probleme kontextbezogen priorisiert und optimierte Behebungsprozesse ermöglicht.
Xygeni nutzt mehrschichtige Techniken, um Schadcode zu stoppen, bevor er sich ausbreitet. Zunächst erkennt die statische Codeanalyse Verschleierungsmuster, versteckte Payloads und Skriptmissbrauch. Darüber hinaus installieren verhaltensbasierte Sandboxing-Analysen hooks, Laufzeitbefehle und Persistenztricks. Darüber hinaus identifiziert die Erkennung durch maschinelles Lernen Zero-Day-NPM-Malware und PYPI-Malware-Varianten, die von Signaturscannern übersehen wurden. Schließlich überwacht das Frühwarnsystem öffentliche Repositories in Echtzeit, validiert Ergebnisse und alarmiert DevOps-Teams sofort.
Diese Kombination stellt sicher, dass Entwickler schnelle, umsetzbare Informationen erhalten, die direkt in CI/CD zum Arbeitsablauf
Warum Entwickler sich vor schädlichen npm-Paketen in Acht nehmen sollten
Moderne Bedrohungen warten selten auf die Laufzeit. Beispielsweise werden bösartige npm-Pakete oft während der Installation ausgeführt, während bösartige pypi-Pakete Token-Exfiltration oder Hintertüren verbergen. Angreifer:
- Machen Sie private GitHub-Repos zu öffentlichen, um sie zu replizieren.
- Exfiltrieren Sie Anmeldeinformationen und Geheimnisse mithilfe verschlüsselter Nutzdaten.
- Verwenden Sie verschleierte JavaScript-Loader, um Ransomware oder Botnets einzusetzen.
Tatsächlich stieg die Zahl bösartiger Open-Source-Pakete innerhalb eines Jahres um 156 %. Teams, die sich lediglich auf verzögerte Feeds oder einfache Scanner verlassen, geraten daher ins Hintertreffen.
Was dieser Malware-Bericht in npm und PyPI verfolgt
Dieser Digest ist der zentrale Knotenpunkt für:
- Bestätigte bösartige npm-Pakete
- Bestätigte schädliche pypi-Pakete
- Verhaltensbasierte Erkennung von Schadcode
- Im Register bestätigte Vorfälle
- Wöchentliche und monatliche Malware-Berichtszusammenfassungen
- Historisches Änderungsprotokoll aller NPM-Malware- und PyPI-Malware-Funde
Mit anderen Worten: Es bietet einen einzigen Bezugspunkt. Das Forschungsteam von Xygeni aktualisiert diese Seite wöchentlich mit Links zu vollständigen technischen Analysen und GitHub IOCs.
So schützen Sie sich vor schädlichen npm-Paketen und PyPI-Malware
Aufgrund dieses wachsenden Risikos, Organisationen brauchen starke Abwehrmaßnahmen:
- Erzwingen Sie ausschließlich Lockfile-Installationen (
npm ci) in CI/CD. - Darüber hinaus können Sie Abhängigkeiten vorab mit der Early Warning Engine von Xygeni scannen.
- Darüber hinaus blockieren Sie Builds auf bösartigen Codesignalen mithilfe von Guardrails.
- Generieren SBOMs zum Verfolgen indirekter Abhängigkeiten und Anwenden von Richtlinien.
- Schulen Sie Entwickler vor allem darin, Typosquatting, Verschleierung und verdächtige Installationsskripte zu erkennen.
Testen Sie die Malware-Erkennungstools von Xygeni
Xygeni bietet:
- Echtzeiterkennung von Schadcode, einschließlich Backdoors, Spyware und Ransomware.
- Im Gegensatz zu einfachen Scannern ermöglicht die Analyse über npm hinweg PyPI, Maven, NuGet, Rubineund vieles mehr.
- Automatische Build-Blockierung, wenn der Malware-Bericht ein Risiko erkennt.
- Einblicke in die Ausnutzbarkeit, Überprüfung der Reputation des Betreuers und Anomalieerkennung.
