Los códigos maliciosos y los paquetes maliciosos continuaron infiltrándose en los ecosistemas de código abierto a lo largo de 2025. En informes semanales y mensuales, los investigadores de Xygeni confirmaron 3,180 paquetes maliciosos, incluidas las de gran escala campañas de malware npm Impulsado por la publicación automatizada de múltiples versiones, la suplantación de DevTools y la focalización del abuso en la cadena de suministro CI/CD pipelines y flujos de trabajo para desarrolladores.
Este resumen anual consolida todos los confirmados paquetes maliciosos Se detectó en 2025 y destaca las familias de amenazas dominantes, los comportamientos de los atacantes y las técnicas de evasión utilizadas para eludir los controles de registro y las herramientas de seguridad tradicionales.
2025: El año en cifras
- 3,180 paquetes maliciosos confirmados durante todo el año
- Crecimiento sostenido en actividad de malware de npm
- Publicación impulsada por una fuerte automatización y repetidas recargas familiares
- Meses de mayor actividad: Octubre Noviembre Diciembre
- Cambiar hacia enterprise-estilo y suplantación de DevTools
En conjunto, estas tendencias confirman que La distribución de código malicioso a través de ecosistemas de paquetes se ha vuelto persistente, escalable e industrializada..
Lo más destacado mes a mes
Enero/marzo
Las primeras olas de paquetes maliciosos impulsado por publicación automatizada y cargas útiles de estilo de confusión de dependencias.
Abril/junio
Expansión de Código malicioso de typosquatting e inflación de versiones con clones casi idénticos de paquetes legítimos.
Julio/septiembre
Menor volumen pero mayor sofisticación, especialmente CI/CDmalware npm orientado a y bibliotecas de suplantación de estilo telemetría.
Octubre/diciembre — Actividad máxima
Grandes olas coordinadas de:
- multi-versión paquetes maliciosos
- Familias de malware con temática de herramientas y analizadores
- Versión automatizada masiva de bombeo
- periódico Clústeres de malware de npm
Principales tendencias de amenazas observadas en 2025
Publicación automatizada de múltiples versiones
A lo largo de 2025, los atacantes dependieron en gran medida de la automatización pipelines que generaron docenas de secuencias versiones de paquetes maliciosos Con cambios mínimos en sus cargas útiles. Como resultado, los grandes clústeres multiversión se convirtieron en uno de los patrones de comportamiento más consistentes del año. Entre las familias maliciosas más destacadas se incluyen let1x*, operaciones cero, plugin-senna, vitor-js y @ikarem/telemetría.
En la práctica, esta estrategia cumplió tres objetivos claros:
En primer lugar, evadir la detección heurística o basada en patrones;
En segundo lugar, inflar artificialmente la credibilidad del paquete mediante el lanzamiento de versiones repetidas;
y, por último, abrumar a los defensores y reducir la eficacia de los procesos de revisión manual.
Suplantación de identidad interna y Enterprise Herramental:
Además, muchos paquetes maliciosos SDK privados, herramientas de administración, bibliotecas de telemetría y otros imitados deliberadamente. CI/CD extensiones. Debido a que estos nombres parecían legítimos y familiares, se integraron fácilmente en enterprise entornos y flujos de trabajo para desarrolladores.
Ejemplos representativos incluyen SDK interno privado, SDK de administración de Baas, caja de herramientas de interfaz de usuario de puntada y utilidades de servidor de scripts de PayPalEn consecuencia, esta tendencia confirma un claro cambio estratégico: los atacantes buscan cada vez más comprometer entornos de desarrollo y automatización, en lugar de dirigirse directamente a los usuarios finales.
Versión La inflación como táctica de evasión
Además, en varios Familias de malware npmLos atacantes abusaron repetidamente de técnicas de inflación de versiones. Esto incluía números de lanzamiento exagerados como 99.x o 9999.x, secuencias rápidas de parches incrementales y convenciones de versiones falsas de "lanzamiento interno". En esencia, el objetivo era eludir modelos de confianza basados en la reputación que dependen de la madurez, la edad o el historial de publicación.
Implicaciones para los equipos de seguridad e ingeniería
En conjunto, estos comportamientos demuestran un cambio estructural en el riesgo de la cadena de suministro a lo largo de 2025. Los ataques ahora son persistente, automatizado y operacionalizado, lo que significa que las protecciones tradicionales del registro ya no son suficientes por sí solas. Además, los paquetes maliciosos se dirigen cada vez más a... CI/CD flujos de trabajo, entornos de compilación y herramientas para desarrolladores, en lugar de capas de tiempo de ejecución de aplicaciones.
Por lo tanto, una defensa eficaz requiere una combinación de monitoreo continuo, detección basada en el comportamiento y puntuación de riesgo sensible al contexto. Asimismo, los flujos de trabajo de remediación deben integrarse directamente en el desarrollo. pipelines para que las amenazas se detecten y contengan antes de que se propaguen por los entornos.
Cómo detectamos código malicioso en malware npm y malware PyPI
Xygeni utiliza técnicas multicapa para detener el código malicioso antes de que se propague. En primer lugar, el análisis de código estático detecta patrones de ofuscación, cargas útiles ocultas y abuso de scripts. Además, el sandbox de comportamiento analiza la instalación. hooks, comandos de tiempo de ejecución y trucos de persistencia. Además, la detección mediante aprendizaje automático identifica malware de día cero npm y variantes de malware pypi que los escáneres de firmas no detectan. Finalmente, el Sistema de Alerta Temprana monitorea los repositorios públicos en tiempo real, valida los hallazgos y alerta a los equipos de DevOps de inmediato.
Como resultado, esta combinación garantiza que los desarrolladores reciban inteligencia rápida y procesable integrada directamente en CI/CD flujos de trabajo.
Por qué los desarrolladores deberían preocuparse por los paquetes npm maliciosos
Las amenazas modernas rara vez esperan el tiempo de ejecución. Por ejemplo, los paquetes npm maliciosos suelen ejecutarse durante la instalación, mientras que los paquetes pypi maliciosos ocultan exfiltraciones de tokens o puertas traseras. Atacantes:
- Convierte los repositorios privados de GitHub en públicos para replicarlos.
- Exfiltrar credenciales y secretos utilizando cargas útiles codificadas.
- Utilice cargadores de JavaScript ofuscados para implementar ransomware o botnets.
De hecho, los paquetes maliciosos de código abierto aumentaron un 156 % en un año. Por lo tanto, los equipos que dependen únicamente de feeds retrasados o escáneres básicos se quedan atrás.
Qué rastrea este informe de malware en npm y PyPI
Este resumen es el centro neurálgico para:
- Paquetes npm maliciosos confirmados
- Paquetes maliciosos de PyPI confirmados
- Detecciones de código malicioso basadas en el comportamiento
- Incidentes confirmados por el Registro
- Resúmenes de informes de malware semanales y mensuales
- Registro de cambios históricos de todos los hallazgos de malware npm y pypi
En otras palabras, proporciona un único punto de referencia. El equipo de investigación de Xygeni actualiza esta página semanalmente con enlaces a análisis técnicos completos y a IOC de GitHub.
Cómo protegerse contra paquetes npm maliciosos y malware PyPI
Debido a este creciente riesgo, las organizaciones necesitan algo más que simples comprobaciones de dependencias. Una defensa sólida contra paquetes npm maliciosos y paquetes pypi maliciosos requiere tanto controles preventivos como medidas de seguridad en tiempo de ejecución.
Aplicar instalaciones solo de archivo de bloqueo contra paquetes npm maliciosos
Usa npm ci or pip install --require-hashes in CI/CD.
Esto garantiza que se utilice el árbol de dependencias exacto definido en los archivos de bloqueo. Como resultado, los atacantes no pueden introducir versiones modificadas o typosquat de paquetes npm maliciosos.
Escaneo previo a la instalación para detectar malware npm y PyPI
Integre el motor de alerta temprana de Xygeni para escanear malware npm y malware pypi antes de que los paquetes lleguen a su entorno.
Además, detectar sospechosos postinstall scripts, cargadores ofuscados o URL C2 codificadas.
Guardrails Para bloquear compilaciones con código malicioso
Establecer guardrails para que las compilaciones fallen automáticamente si se detectan paquetes npm o pypi maliciosos confirmados.
Por ejemplo, romper compilaciones en paquetes con mantenedores no publicados, patrones de ofuscación o coincidencias de IOC. En consecuencia, el código malicioso siempre pasa desapercibido.
Generar y validar SBOMs contra paquetes npm maliciosos y malware PyPI
Crear SBOMs (CycloneDX, SPDX) para cada compilación.
Luego, compárelo con paquetes npm maliciosos conocidos y feeds de malware pypi para rastrear dependencias directas y transitivas.
Protección de credenciales y tokens contra malware npm y PyPI
Muchos paquetes npm maliciosos intentan leer .npmrc, .pypirc, o variables de entorno.
Por lo tanto, ejecute compilaciones en contenedores reforzados con la mínima exposición de Secretos. Además, utilice administradores de Secretos en lugar de variables de entorno para bloquear el abuso de código malicioso.
Supervisar cambios en el registro y el mantenimiento de paquetes npm maliciosos
Los atacantes a menudo secuestran proyectos abandonados.
En particular, esté atento a cambios repentinos de mantenedor, saltos de versiones inusuales o publicaciones excesivas en paquetes maliciosos de npm y pypi.
Capacitación para desarrolladores sobre la detección de código malicioso en npm y PyPI
Enseñe a los equipos a detectar señales de alerta como:
- Nombres de paquetes con errores tipográficos (
reqeusten lugar derequest). - Raro
installorpreparescripts. - Paquetes creados recientemente con números de versión sospechosamente altos.
Sobre todo, esta concienciación ayuda a detectar códigos maliciosos de forma temprana.
Detección de anomalías en tiempo de ejecución para paquetes npm maliciosos y malware PyPI
Incluso si el malware elude las comprobaciones estáticas, la detección en tiempo de ejecución en CI/CD puede atrapar:
- Conexiones de red inesperadas.
- Modificaciones del sistema de archivos fuera de los directorios esperados.
- Intentos de persistencia en todos los trabajos.
Por último, esto garantiza que las amenazas de malware npm y malware pypi se detengan incluso después de la instalación.
Al combinar estos controles, los equipos evitan que los paquetes npm maliciosos y los paquetes pypi maliciosos lleguen a producción. pipelines.
Pruebe las herramientas de detección de malware de Xygeni
Xygeni ofrece:
- Detección en tiempo real de código malicioso, incluidas puertas traseras, spyware y ransomware.
- A diferencia de los escáneres básicos, el análisis se realiza en npm, PyPI, Maven, NuGet, RubyGems y más.
- Bloqueo automático de compilación cuando el informe de malware identifica riesgo.
- Información sobre explotabilidad, comprobaciones de reputación del mantenedor y detección de anomalías.
Manténgase Informado
Nuestro equipo actualiza esta página semanalmente. Para recibir alertas e informes detallados:
- Suscríbete a nuestra Boletín informativo
- Siganos @XygeniSecurity en Linkedin
- Marque esta página como favorita para seguir las últimas novedades malware npm y malware pypi amenazas
