Bienvenido a la última edición del Xygeni Malicious Code Digest (edición mensual). Una vez más, nuestros equipos de seguridad han estado analizando a fondo datos de paquetes reales para detectar lo que las herramientas tradicionales suelen pasar por alto. ¿El objetivo? Detectar y bloquear paquetes maliciosos antes de que lleguen a su código fuente o pipeline.
En las últimas semanas, hemos confirmado Más de 180 paquetes maliciosos en npm (y casos ocasionales de PyPI)Las olas recientes muestran un uso intensivo de Publicación impulsada por automatización, inflación de versiones y suplantación de herramientas internas, junto con tácticas clásicas como typosquatting, confusión de dependencias y exfiltración de datos, todas diseñadas para evadir los controles automatizados y comprometer silenciosamente los entornos de los desarrolladores y CI/CD pipelines.
Esta actualización mensual es parte de nuestra informe de malware en curso, donde publicamos hallazgos semanalesConfirmar nuevas amenazas y ayudar a los equipos de DevSecOps a mantenerse a la vanguardia. Si desea obtener información completa sobre cada paquete malicioso que hemos analizado, asegúrese de Explora el resumen completo del código malicioso aquí.
Semana 4: más de 70 paquetes descubiertos
| Ecosistema | PREMIUM | Fecha |
|---|---|---|
| npm | @acqui-calm-library/acqui-hero-carousel-section:999.99.999 | 23 de enero de 2026 |
| npm | com.unity.xr.visionos:2.3.2 | 27 de enero de 2026 |
| npm | vvvv4234:1.0.1 | 27 de enero de 2026 |
| npm | estado-web-frontend-js:2.2.3 | 27 de enero de 2026 |
| npm | herramienta de auditoría de Google: 1.0.0 | 30 de enero de 2026 |
| npm | complemento solhint-hyperlane:99.9.9 | 27 de enero de 2026 |
| npm | @row-components/precios-incrustados-sui:77.7.7 | 27 de enero de 2026 |
| npm | un112:1.0.39 | 23 de enero de 2026 |
| npm | no-remix:9.0.0 | 28 de enero de 2026 |
| npm | nota de traducción:9.0.0 | 27 de enero de 2026 |
Semana 3: más de 44 paquetes descubiertos
| Ecosistema | PREMIUM | Fecha |
|---|---|---|
| npm | react-server-dom-desagrupado:9.2.31 | 16 de enero de 2026 |
| npm | natateste:1.1.0 | 21 de enero de 2026 |
| npm | paquete-víctima-a:1.0.1 | 21 de enero de 2026 |
| npm | mundo normal:1.0.0 | 21 de enero de 2026 |
| npm | variantes de combustible del complemento typedoc: 1.0.1 | 21 de enero de 2026 |
| npm | posición mundial:1.0.0 | 21 de enero de 2026 |
| npm | vworldviewdir:1.0.0 | 21 de enero de 2026 |
| npm | formularios-nuevo-diseño:99.99.9 | 21 de enero de 2026 |
| npm | dux-portal-privacidad:4.9.121 | 16 de enero de 2026 |
| npm | utilidades de prueba de presentación:0.0.1 | 21 de enero de 2026 |
Semana 2: más de 30 paquetes descubiertos
| Ecosistema | PREMIUM | Fecha |
|---|---|---|
| npm | prueba jz-npm:114.8.10 | 12 de enero de 2026 |
| npm | internallib_v147:1.0.1 | 12 de enero de 2026 |
| npm | prueba jz-npm:114.8.114 | 12 de enero de 2026 |
| npm | formularios-nuevo-diseño:99.99.9 | 12 de enero de 2026 |
| npm | controlador de caché s3:0.1.0 | 12 de enero de 2026 |
| npm | @icecreampie/internallib_v147:1.0.1 | 12 de enero de 2026 |
| npm | utilidades de prueba de presentación:0.0.1 | 12 de enero de 2026 |
| npm | no-remix:9.0.0 | 12 de enero de 2026 |
| npm | lyonscg:88.8.8 | 12 de enero de 2026 |
| npm | @gwp-gtmt-components/escucha-de-eventos:77.7.7 | 12 de enero de 2026 |
Semana 1: más de 40 paquetes descubiertos
| Ecosistema | PREMIUM | Fecha |
|---|---|---|
| npm | sin escapar:1.0.0 | 05 de enero de 2026 |
| npm | bot de insignias de github:1.8.2 | 02 de enero de 2026 |
| pipi | prueba de verificación del estado del sistema única: 0.3.4 | 02 de enero de 2026 |
| pipi | pdatainstaller:1.0.0 | 02 de enero de 2026 |
| pipi | qdatainstaller:1.0.1 | 05 de enero de 2026 |
| npm | 1231 días:1.0.0 | 02 de enero de 2026 |
| npm | kit de rendimiento de Shopify: 8.2.31 | 02 de enero de 2026 |
| npm | kit de rendimiento de Shopify: 8.2.32 | 02 de enero de 2026 |
| npm | hola-mundo-npm-demo-ejemplo:1.0.0 | 06 de enero de 2026 |
| npm | hola-mundo-npm-demo-ejemplo:1.0.1 | 06 de enero de 2026 |
Proteja sus dependencias de código abierto contra vulnerabilidades y códigos maliciosos
El malware ya no es solo un riesgo teórico, ya se esconde en paquetes públicos. Con Detección temprana de malware de XygeniPuedes reducir la exposición detectando amenazas. Tan pronto como se publiquen, antes de que lleguen a tu pipeline.
Nuestro motor de escaneo y priorización en tiempo real monitorea continuamente registros públicos como npm y PyPI. Los paquetes maliciosos se bloquean, marcan y clasifican según su impacto, para que sepa exactamente qué necesita reparación y cuándo. Ya sea que se trate de errores tipográficos, confusión de dependencias o robo de credenciales, ayudamos a su equipo a mantenerse a la vanguardia.
Si desea una visibilidad completa de los hallazgos semanales y mensuales, consulte la información completa Resumen de código malicioso.
Manténgase seguro. Manténgase rápido. Manténgase en control con Xygeni.
