Bienvenue dans la dernière édition du Xygeni Malicious Code Digest (édition mensuelle). Une fois de plus, nos équipes de sécurité ont analysé en profondeur les données réelles des paquets afin d'identifier ce que les outils traditionnels oublient souvent. L'objectif ? Détecter et bloquer les paquets malveillants avant qu'ils n'atteignent votre base de code. pipeline.
Au cours des dernières semaines, nous avons confirmé Plus de 180 paquets malveillants sur npm (et quelques cas occasionnels sur PyPI)Les vagues récentes montrent une forte utilisation de publication automatisée, inflation des versions et usurpation d'identité d'outils internes, ainsi que des tactiques classiques comme le typosquatting, la confusion des dépendances et l'exfiltration de données, toutes conçues pour contourner les contrôles automatisés et compromettre discrètement les environnements de développement et CI/CD pipelines.
Cette mise à jour mensuelle fait partie de notre rapport de malware en cours, où nous publions résultats hebdomadaires, confirmez les nouvelles menaces et aidez les équipes DevSecOps à garder une longueur d'avance. Pour obtenir un contexte complet sur chaque package malveillant que nous avons analysé, assurez-vous de explorez le résumé complet du code malveillant ici.
Semaine 4 : plus de 70 packages découverts
| Écosystème | Forfait | Date |
|---|---|---|
| NPM | @acqui-calm-library/acqui-hero-carousel-section:999.99.999 | Le 23 janvier 2026 |
| NPM | com.unity.xr.visionos:2.3.2 | Le 27 janvier 2026 |
| NPM | vvvv4234:1.0.1 | Le 27 janvier 2026 |
| NPM | frontend-js-state-web:2.2.3 | Le 27 janvier 2026 |
| NPM | google-audit-tool:1.0.0 | Le 30 janvier 2026 |
| NPM | solhint-plugin-hyperlane:99.9.9 | Le 27 janvier 2026 |
| NPM | @row-components/pricing-embedded-sui:77.7.7 | Le 27 janvier 2026 |
| NPM | un112:1.0.39 | Le 23 janvier 2026 |
| NPM | non remixé:9.0.0 | Le 28 janvier 2026 |
| NPM | note de traduction : 9.0.0 | Le 27 janvier 2026 |
Semaine 3 : plus de 44 packages découverts
| Écosystème | Forfait | Date |
|---|---|---|
| NPM | react-server-dom-unbundled:9.2.31 | Le 16 janvier 2026 |
| NPM | nataste:1.1.0 | Le 21 janvier 2026 |
| NPM | victim-package-a:1.0.1 | Le 21 janvier 2026 |
| NPM | normal mondial : 1.0.0 | Le 21 janvier 2026 |
| NPM | typedoc-plugin-fuel-variants:1.0.1 | Le 21 janvier 2026 |
| NPM | position mondiale : 1.0.0 | Le 21 janvier 2026 |
| NPM | vworldviewdir:1.0.0 | Le 21 janvier 2026 |
| NPM | formulaires-nouveau-design:99.99.9 | Le 21 janvier 2026 |
| NPM | dux-portal-privacy:4.9.121 | Le 16 janvier 2026 |
| NPM | presentation-test-utilities:0.0.1 | Le 21 janvier 2026 |
Semaine 2 : plus de 30 packages découverts
| Écosystème | Forfait | Date |
|---|---|---|
| NPM | jz-test-npm:114.8.10 | Le 12 janvier 2026 |
| NPM | internallib_v147:1.0.1 | Le 12 janvier 2026 |
| NPM | jz-test-npm:114.8.114 | Le 12 janvier 2026 |
| NPM | formulaires-nouveau-design:99.99.9 | Le 12 janvier 2026 |
| NPM | s3-cache-handler:0.1.0 | Le 12 janvier 2026 |
| NPM | @icecreampie/internallib_v147:1.0.1 | Le 12 janvier 2026 |
| NPM | presentation-test-utilities:0.0.1 | Le 12 janvier 2026 |
| NPM | non remixé:9.0.0 | Le 12 janvier 2026 |
| NPM | lyonscg:88.8.8 | Le 12 janvier 2026 |
| NPM | @gwp-gtmt-components/event-listener:77.7.7 | Le 12 janvier 2026 |
Semaine 1 : plus de 40 packages découverts
| Écosystème | Forfait | Date |
|---|---|---|
| NPM | non échappé:1.0.0 | Le 05 janvier 2026 |
| NPM | github-badge-bot:1.8.2 | Le 02 janvier 2026 |
| pypi | test de vérification de l'état du système unique : 0.3.4 | Le 02 janvier 2026 |
| pypi | pdatainstaller:1.0.0 | Le 02 janvier 2026 |
| pypi | qdatainstaller:1.0.1 | Le 05 janvier 2026 |
| NPM | 1231dai:1.0.0 | Le 02 janvier 2026 |
| NPM | shopify-perf-kit:8.2.31 | Le 02 janvier 2026 |
| NPM | shopify-perf-kit:8.2.32 | Le 02 janvier 2026 |
| NPM | hello-world-npm-demo-example:1.0.0 | Le 06 janvier 2026 |
| NPM | hello-world-npm-demo-example:1.0.1 | Le 06 janvier 2026 |
Sécurisez vos dépendances Open Source contre les vulnérabilités et les codes malveillants
Les logiciels malveillants ne sont plus seulement un risque théorique, ils se cachent déjà dans des packages publics. Détection précoce des logiciels malveillants par Xygeni, vous pouvez réduire votre exposition en détectant les menaces dès qu'ils sont publiés, avant qu'ils n'atteignent votre pipeline.
Notre moteur d'analyse et de priorisation en temps réel surveille en continu les registres publics comme npm et PyPI. Les paquets malveillants sont bloqués, signalés et classés en fonction de leur impact, vous permettant ainsi de savoir précisément ce qui doit être corrigé et quand. Qu'il s'agisse de typosquatting, de confusion de dépendances ou de vol d'identifiants, nous aidons votre équipe à garder une longueur d'avance.
Si vous souhaitez une visibilité complète des résultats hebdomadaires et mensuels, consultez la section complète Résumé des codes malveillants.
Restez en sécurité. Restez rapide. Gardez le contrôle avec Xygeni.
