Cada semana, nuestros sistemas de detección de malware analizan miles de paquetes nuevos y actualizados en registros públicos como npm y PyPI. Esta vez, confirmamos más de... 124 paquetes maliciosos, que abarcan desde typosquatting y ladrones de credenciales hasta bibliotecas con puertas traseras diseñadas para evadir los escáneres básicos.
Esta instantánea semanal es parte de nuestro trabajo continuo Resumen de código malicioso, donde publicamos hallazgos continuos, confirmamos amenazas emergentes y ayudamos a los equipos de DevSecOps a proteger sus pipelines antes de que se produzcan daños. Si desea obtener información completa sobre todos los paquetes confirmados e incidentes pasados, asegúrese de consultar el resumen completo.
Analicemos lo que encontramos esta semana y por qué es importante.
| Ecosistema | PREMIUM | Fecha |
|---|---|---|
| npm | dhemrdhs92004:1.250607.11941 | 24 de octubre de 2025 |
| npm | dhemrdhs92004:1.250607.11953 | 24 de octubre de 2025 |
| npm | dhemrdhs92004:1.250607.12009 | 24 de octubre de 2025 |
| npm | porscheoficial:2.9.9 | 24 de octubre de 2025 |
| npm | @web-ib/chevre:9000.0.0 | 20 de octubre de 2025 |
| npm | @conotion/cli:0.1.0-beta.2 | 20 de octubre de 2025 |
| pipi | tikweb:1.0.4 | 20 de octubre de 2025 |
| npm | página de destino de tchap: 7.0.4 | 23 de octubre de 2025 |
| npm | depuración de vuelo:99.99.1 | 20 de octubre de 2025 |
| npm | park-boost-v1:1.0.1 | 21 de octubre de 2025 |
| npm | Plugin de eslint para React Discord: 9.0.3 | 21 de octubre de 2025 |
| npm | Prueba AB para WP: 1.18.3 | 21 de octubre de 2025 |
| npm | iconos de superbet: 9.9.22 | 24 de octubre de 2025 |
| npm | complemento vue-analytics:9.9.20 | 24 de octubre de 2025 |
| npm | complemento vue-analytics:9.9.21 | 24 de octubre de 2025 |
| npm | Baidu-tims:1.0.1 | 24 de octubre de 2025 |
| npm | Baidu-tims:1.0.2 | 24 de octubre de 2025 |
| pipi | bach-news-bigdata-mcp:1.0.0 | 20 de octubre de 2025 |
| npm | plantilla-backend-js:1.0.0 | 24 de octubre de 2025 |
| npm | @jayandudakiya/backend-boilerplate-js:1.0.0 | 24 de octubre de 2025 |
| npm | backend-boilerplate-js:1.0.0 | 24 de octubre de 2025 |
| npm | enjin-docs:8.0.0 | 24 de octubre de 2025 |
| npm | enjin-docs:9.0.0 | 24 de octubre de 2025 |
| npm | enjin-docs:7.0.0 | 24 de octubre de 2025 |
| npm | hyperion-react-native:1337.0.0 | 20 de octubre de 2025 |
| npm | crear-ser-repetitivo:1.0.1 | 24 de octubre de 2025 |
| npm | @nunes_nunes/base del cargador:0.1.0 | 20 de octubre de 2025 |
| npm | times-new-mcp-server:1.0.0 | 20 de octubre de 2025 |
| npm | react-media:1.1.4 | 22 de octubre de 2025 |
| npm | cargador de componentes ec:0.1.0 | 20 de octubre de 2025 |
| npm | cargador de componentes ec:1.3.1 | 20 de octubre de 2025 |
| npm | cargador de componentes ec:1.3.2 | 20 de octubre de 2025 |
| npm | @patterninc/react-ui:5.0.2 | 21 de octubre de 2025 |
| npm | mui-themes-extand:3.0.3 | 21 de octubre de 2025 |
| npm | @jirikobelka/servidor-cerrado:1.0.0 | 21 de octubre de 2025 |
| npm | servidor mcp de bucle cerrado: 1.0.0 | 20 de octubre de 2025 |
| npm | helosifjowe2342:8.0.5 | 20 de octubre de 2025 |
| npm | src_components_qcreport_index_tsx:6.8.5 | 20 de octubre de 2025 |
| npm | Vista de configuración de tailwind:1.0.3 | 21 de octubre de 2025 |
| npm | @agente-velo/era:0.0.20 | 21 de octubre de 2025 |
| npm | @ledgerhq/live-common:34.52.0-nightly.0 | 21 de octubre de 2025 |
| npm | agentemono:1.0.0 | 20 de octubre de 2025 |
| npm | aplicación rainbowkit-next:1.0.0 | 20 de octubre de 2025 |
| npm | @ixuxoinzo/xchain-sdk:2.0.0 | 21 de octubre de 2025 |
| npm | onairos:3.5.2 | 21 de octubre de 2025 |
| npm | índice del módulo fuente ts:8.2.0 | 20 de octubre de 2025 |
| npm | índice del complemento de origen ts:6.2.0 | 20 de octubre de 2025 |
| npm | índice de arranque de origen ts:7.0.5 | 20 de octubre de 2025 |
| npm | @agente-velo/era:0.0.21 | 21 de octubre de 2025 |
| npm | @agente-velo/era:0.0.22 | 21 de octubre de 2025 |
| npm | @agente-velo/era:0.1.0 | 21 de octubre de 2025 |
| npm | iwf-ant-design-arrastrable-modal:1.1.9 | 24 de octubre de 2025 |
| npm | iwf-ant-design-arrastrable-modal:1.1.10 | 24 de octubre de 2025 |
| npm | iwf-ant-design-arrastrable-modal:1.1.11 | 24 de octubre de 2025 |
| npm | iwf-ant-design-arrastrable-modal:1.1.12 | 24 de octubre de 2025 |
| npm | Moloch:2.0.0 | 20 de octubre de 2025 |
| npm | protocolo ai:3.0.0 | 20 de octubre de 2025 |
| npm | Asistente de codificación de cpilot: 1.0.7 | 21 de octubre de 2025 |
| npm | estenificación:1.0.4 | 21 de octubre de 2025 |
| npm | saifulhhacker.site-test:1.199.0 | 20 de octubre de 2025 |
| npm | @agente-velo/era:0.1.0 | 21 de octubre de 2025 |
| npm | iwf-ant-design-arrastrable-modal:1.1.9 | 24 de octubre de 2025 |
| npm | iwf-ant-design-arrastrable-modal:1.1.10 | 24 de octubre de 2025 |
| npm | iwf-ant-design-arrastrable-modal:1.1.11 | 24 de octubre de 2025 |
| npm | iwf-ant-design-arrastrable-modal:1.1.12 | 24 de octubre de 2025 |
| npm | Moloch:2.0.0 | 20 de octubre de 2025 |
| npm | protocolo ai:3.0.0 | 20 de octubre de 2025 |
| npm | Asistente de codificación de cpilot: 1.0.7 | 21 de octubre de 2025 |
| npm | estenificación:1.0.4 | 21 de octubre de 2025 |
| npm | saifulhhacker.site-test:1.199.0 | 20 de octubre de 2025 |
| npm | qwen-code-core-main:0.0.2 | 21 de octubre de 2025 |
| npm | @underpostnet/underpost:2.85.0 | 21 de octubre de 2025 |
| npm | qwen-code-core-master:0.0.1 | 21 de octubre de 2025 |
| npm | @probelabs/sonda:0.6.0-rc146 | 21 de octubre de 2025 |
| npm | nabladown.js:4.0.1 | 21 de octubre de 2025 |
| npm | id de raíz: 1000.99.999 | 20 de octubre de 2025 |
| npm | uswds-webcomponents:1.0.0 | 21 de octubre de 2025 |
| npm | Simmons:2.0.0 | 20 de octubre de 2025 |
| npm | código de toque: 0.1.0 | 21 de octubre de 2025 |
| npm | código de toque: 0.2.0 | 21 de octubre de 2025 |
| npm | @agente-velo/era:0.1.1 | 21 de octubre de 2025 |
| npm | nabladown.js:4.0.2 | 21 de octubre de 2025 |
| npm | crear-ser-repetitivo:1.0.0 | 21 de octubre de 2025 |
| npm | @probelabs/sonda:0.6.0-rc148 | 21 de octubre de 2025 |
| npm | código de toque: 0.3.0 | 21 de octubre de 2025 |
| npm | código de toque: 0.4.0 | 21 de octubre de 2025 |
| npm | @blvckeasy/arenda-crm-core:0.1.9 | 21 de octubre de 2025 |
| npm | navegador kexin-ext:0.1.31 | 21 de octubre de 2025 |
| npm | navegador kexin-ext:0.1.32 | 21 de octubre de 2025 |
| npm | código de toque: 0.5.0 | 21 de octubre de 2025 |
| npm | código de toque: 0.6.0 | 21 de octubre de 2025 |
| npm | código de toque: 0.7.0 | 21 de octubre de 2025 |
| npm | @vitorcen/gemini-cli-2-api:0.8.0-preview.1-5 | 21 de octubre de 2025 |
| npm | @nan0web/release:1.0.0 | 21 de octubre de 2025 |
| npm | ggtech:10.0.4 | 21 de octubre de 2025 |
| npm | ggtech:10.0.5 | 21 de octubre de 2025 |
| npm | ggtech:10.0.6 | 21 de octubre de 2025 |
| npm | ggtech:10.0.7 | 21 de octubre de 2025 |
| npm | ggtech:10.0.8 | 21 de octubre de 2025 |
| npm | ggtech:10.0.9 | 21 de octubre de 2025 |
| npm | núcleo del código eadp:0.0.14 | 21 de octubre de 2025 |
| npm | @mapcatch/tres-cargadores-3dtiles:1.2.7 | 21 de octubre de 2025 |
| npm | @odoreltd/osiris-api:5.5.9 | 20 de octubre de 2025 |
| npm | núcleo del código eadp: 0.0.14-alpha6 | 21 de octubre de 2025 |
| npm | @xysfe/actui:1.10.4-beta.65 | 21 de octubre de 2025 |
| npm | núcleo del código eadp: 0.0.14-alpha7 | 21 de octubre de 2025 |
| npm | onairos:3.5.4 | 21 de octubre de 2025 |
| npm | @vitorcen/gemini-cli-2-api:0.8.0-preview.1-6 | 21 de octubre de 2025 |
| npm | sing-fest-es-logger:2025.10.20 | 20 de octubre de 2025 |
| npm | registrador de rq de festival de canto:2025.10.20 | 20 de octubre de 2025 |
| npm | @maka/maka-cli:5.1.56 | 21 de octubre de 2025 |
| npm | @starbemtech/star-node-stack-helper:1.5.5 | 21 de octubre de 2025 |
| npm | Túnel del shogun:1.0.0 | 21 de octubre de 2025 |
| npm | flow-docscanner-db:10.0.0 | 21 de octubre de 2025 |
| npm | @friggframework/devtools:2.0.0--canary.461.c5013fd.0 | 21 de octubre de 2025 |
| npm | Túnel del shogun:1.0.1 | 21 de octubre de 2025 |
| npm | método myaidev:0.2.3 | 21 de octubre de 2025 |
| npm | @friggframework/devtools:2.0.0--canary.461.23a07de.0 | 21 de octubre de 2025 |
| npm | @maka/maka-cli:5.2.0 | 21 de octubre de 2025 |
| npm | @underpostnet/underpost:2.85.1 | 21 de octubre de 2025 |
| npm | nabladown.js:4.0.3 | 21 de octubre de 2025 |
| npm | @maka/maka-cli:5.2.1 | 21 de octubre de 2025 |
| npm | @maka/maka-cli:5.2.2 | 21 de octubre de 2025 |
| npm | zuix-dist:1.2.1 | 21 de octubre de 2025 |
| npm | lingo.dev:0.113.5 | 21 de octubre de 2025 |
| npm | @oppo-minijuego/cli:3.2.5 | 21 de octubre de 2025 |
| npm | prueba de búsqueda de nodos npmrun:1337.1.0 | 21 de octubre de 2025 |
| npm | canario-ng:1337.1.0 | 21 de octubre de 2025 |
| npm | @amirafa/vuexp:1.0.6 | 21 de octubre de 2025 |
| npm | @nhtio/lucid-resourceful:0.1.0-master-2f539c1f | 21 de octubre de 2025 |
| npm | exportación de facturas de shiprocket: 1.0.0 | 21 de octubre de 2025 |
| npm | pdfdancer-client-typescript:1.0.10 | 21 de octubre de 2025 |
| npm | pdfdancer-client-typescript:1.0.11 | 22 de octubre de 2025 |
| pipi | pdfdancer-cliente-python:0.2.11 | 22 de octubre de 2025 |
| pipi | pdfdancer-cliente-python:0.2.12 | 22 de octubre de 2025 |
| npm | pdfdancer-client-typescript:1.0.9 | 22 de octubre de 2025 |
| npm | @lk_blackboxai/blackbox-cli-core:0.0.9-dev | 24 de octubre de 2025 |
| npm | mediapipe:1.0.6 | 23 de octubre de 2025 |
| npm | mediapipe:1.0.9 | 23 de octubre de 2025 |
| npm | mediapipe:1.1.1 | 23 de octubre de 2025 |
| npm | mediapipe:1.1.3 | 23 de octubre de 2025 |
| npm | mediapipe:1.1.6 | 23 de octubre de 2025 |
| npm | mediapipe:1.1.8 | 23 de octubre de 2025 |
| npm | extensión de búsqueda qwant:10.0.3 | 23 de octubre de 2025 |
| npm | mediapipe:1.2.3 | 23 de octubre de 2025 |
| npm | extensión de búsqueda qwant:10.0.4 | 23 de octubre de 2025 |
| npm | mediapipe:1.2.4 | 23 de octubre de 2025 |
| npm | página de destino de tchap: 7.0.3 | 23 de octubre de 2025 |
| npm | Acción de Github para obtener secretos de Doppler: 7.0.1 | 23 de octubre de 2025 |
| npm | usuario_oidc:8.0.1 | 23 de octubre de 2025 |
| npm | mediapipe:1.2.5 | 23 de octubre de 2025 |
| npm | mediapipe:1.2.6 | 23 de octubre de 2025 |
| npm | mediapipe:1.2.7 | 23 de octubre de 2025 |
| npm | mediapipe:1.2.8 | 23 de octubre de 2025 |
| npm | mediapipe:1.2.9 | 23 de octubre de 2025 |
| npm | comandos de reacción: 1.1.4 | 23 de octubre de 2025 |
| npm | mediapipe:1.3.0 | 23 de octubre de 2025 |
| npm | mediapipe:1.3.1 | 23 de octubre de 2025 |
| npm | mediapipe:1.3.2 | 23 de octubre de 2025 |
| npm | mediapipe:1.3.3 | 23 de octubre de 2025 |
| npm | mediapipe:1.3.4 | 23 de octubre de 2025 |
| npm | usuario_oidc:8.0.2 | 23 de octubre de 2025 |
| npm | extensión de búsqueda qwant:10.0.6 | 23 de octubre de 2025 |
| npm | duckduckgo-eslint-config-poc:999.999.999 | 23 de octubre de 2025 |
| npm | mediapipe:1.3.5 | 23 de octubre de 2025 |
| npm | usuario_oidc:8.0.3 | 24 de octubre de 2025 |
| npm | usuario_oidc:8.0.4 | 24 de octubre de 2025 |
Proteja sus dependencias de código abierto contra vulnerabilidades y códigos maliciosos
Minimice los riesgos y proteja sus aplicaciones de paquetes maliciosos con Detección temprana de malware XygeniPriorice y aborde las vulnerabilidades más importantes. Nuestra solución integral ofrece monitoreo en tiempo real de sus dependencias para detectar y mitigar amenazas antes de que afecten su software.
La gestión de componentes de código abierto en el panorama actual de desarrollo de software es crucial debido a las crecientes vulnerabilidades y amenazas de códigos maliciosos. xygenis Open Source Security La solución escanea y bloquea paquetes dañinos al momento de su publicación, minimizando drásticamente el riesgo de que malware y vulnerabilidades se infiltren en sus sistemas. Nuestro monitoreo integral abarca múltiples registros públicos, garantizando que todas las dependencias sean examinadas para determinar su seguridad e integridad. Xygeni mejora la capacidad de su equipo para mantener proyectos de software seguros y confiables al priorizar contextualmente los problemas críticos y facilitar procesos de remediación optimizados.
Xygeni utiliza técnicas multicapa para detener el código malicioso antes de que se propague. En primer lugar, el análisis de código estático detecta patrones de ofuscación, cargas útiles ocultas y abuso de scripts. Además, el sandbox de comportamiento analiza la instalación. hooks, comandos de tiempo de ejecución y trucos de persistencia. Además, la detección mediante aprendizaje automático identifica malware de día cero npm y variantes de malware pypi que los escáneres de firmas no detectan. Finalmente, el Sistema de Alerta Temprana monitorea los repositorios públicos en tiempo real, valida los hallazgos y alerta a los equipos de DevOps de inmediato.
Como resultado, esta combinación garantiza que los desarrolladores reciban inteligencia rápida y procesable integrada directamente en CI/CD flujos de trabajo.
Por qué los desarrolladores deberían preocuparse por los paquetes npm maliciosos
Las amenazas modernas rara vez esperan el tiempo de ejecución. Por ejemplo, los paquetes npm maliciosos suelen ejecutarse durante la instalación, mientras que los paquetes pypi maliciosos ocultan exfiltraciones de tokens o puertas traseras. Atacantes:
- Convierte los repositorios privados de GitHub en públicos para replicarlos.
- Exfiltrar credenciales y secretos utilizando cargas útiles codificadas.
- Utilice cargadores de JavaScript ofuscados para implementar ransomware o botnets.
De hecho, los paquetes maliciosos de código abierto aumentaron un 156 % en un año. Por lo tanto, los equipos que dependen únicamente de feeds retrasados o escáneres básicos se quedan atrás.
Qué rastrea este informe de malware en npm y PyPI
Este resumen es el centro neurálgico para:
- Paquetes npm maliciosos confirmados
- Paquetes maliciosos de PyPI confirmados
- Detecciones de código malicioso basadas en el comportamiento
- Incidentes confirmados por el Registro
- Resúmenes de informes de malware semanales y mensuales
- Registro de cambios históricos de todos los hallazgos de malware npm y pypi
En otras palabras, proporciona un único punto de referencia. El equipo de investigación de Xygeni actualiza esta página semanalmente con enlaces a análisis técnicos completos y a IOC de GitHub.
Cómo protegerse contra paquetes npm maliciosos y malware PyPI
Debido a este creciente riesgoLas organizaciones necesitan defensas fuertes:
- Aplicar instalaciones solo con archivos de bloqueo (
npm ci) en CI/CD. - Además, las dependencias de escaneo se preinstalan con el motor de alerta temprana de Xygeni.
- Además, los bloques se basan en señales de código malicioso que utilizan Guardrails.
- Generar SBOMs para rastrear dependencias indirectas y aplicar políticas.
- Sobre todo, capacite a los desarrolladores para detectar errores tipográficos, ofuscaciones y scripts de instalación sospechosos.
Pruebe las herramientas de detección de malware de Xygeni
Xygeni ofrece:
- Detección en tiempo real de código malicioso, incluidas puertas traseras, spyware y ransomware.
- A diferencia de los escáneres básicos, el análisis se realiza en npm, PyPI, Maven, NuGet, RubyGems y más.
- Bloqueo automático de compilación cuando el informe de malware identifica riesgo.
- Información sobre explotabilidad, comprobaciones de reputación del mantenedor y detección de anomalías.
