Chaque semaine, nos systèmes de détection de logiciels malveillants analysent des milliers de packages nouveaux et mis à jour sur des registres publics comme npm et PyPI.
Cette semaine était différente.
Au-delà de la confirmation Plus de 40 paquets malveillants, notre équipe de recherche a mené des enquêtes approfondies sur :
- Une campagne de vol d'informations récemment découverte, exploitant l'écosystème npm.
- Une faille malveillante ciblant la chaîne d'approvisionnement de la bibliothèque WhatsApp de Baileys
Il ne s'agissait pas de simples cas de typosquatting. Les deux impliquaient des abus d'identifiants et des techniques de détournement de session susceptibles d'affecter de véritables environnements de développement.
Cet aperçu hebdomadaire fait partie de notre programme en cours Résumé des codes malveillants, où nous validons les nouvelles menaces et fournissons des renseignements exploitables pour aider les équipes DevSecOps à protéger leurs pipelineavant que des dommages ne surviennent.
Décomposons ce que nous avons trouvé cette semaine et pourquoi c'est important.
| Écosystème | Forfait | Date |
|---|---|---|
| NPM | conduit-utils:2.95.0 | 27 fév 2026 |
| NPM | conduit-utils:2.96.0 | 27 fév 2026 |
| NPM | conduit-utils:2.97.0 | 27 fév 2026 |
| NPM | conduit-utils:2.99.0 | 27 fév 2026 |
| NPM | conduit-utils:2.98.0 | 27 fév 2026 |
| NPM | conduit-utils:3.99.0 | 27 fév 2026 |
| NPM | rncalendareventsexample:0.0.5 | 02 mar 2026 |
| NPM | exemplereactnative76:0.0.8 | 02 mar 2026 |
| NPM | rncalendareventsexample:0.0.10 | 02 mar 2026 |
| NPM | lancement-darkly-js:199.99.102 | 03 mar 2026 |
| NPM | lancement-darkly-js:199.99.103 | 03 mar 2026 |
| NPM | consolelofy:1.3.0 | 03 mar 2026 |
| NPM | lancement-darkly-js:199.99.106 | 03 mar 2026 |
| NPM | securefiles-common:1.0.3 | 28 fév 2026 |
| NPM | nuget-task-common:1.0.4 | 28 fév 2026 |
| NPM | woltpickerapp:40.6.2 | 02 mar 2026 |
| NPM | xrpl-dev-portal:1.0.3 | 03 mar 2026 |
| pypi | isb:1.0.0 | 04 mar 2026 |
| pypi | monprojet-bola:1.0.0 | 03 mar 2026 |
| NPM | ag-connect:1.0.0 | 28 fév 2026 |
| NPM | ag-connect:1.0.1 | 28 fév 2026 |
| NPM | ag-connect:1.1.0 | 28 fév 2026 |
| NPM | ag-connect:1.2.0 | 28 fév 2026 |
| NPM | ag-connect:1.3.0 | 28 fév 2026 |
| NPM | ag-connect:1.3.1 | 28 fév 2026 |
| NPM | paquet coquin : 1.0.2 | 02 mar 2026 |
| NPM | piyush_test_vadapav:1.0.1 | 01 mar 2026 |
| NPM | replay-ci:1.0.0 | 02 mar 2026 |
| NPM | replay-ci:1.0.1 | 02 mar 2026 |
| NPM | ng-vzbootstrap:1.0.3 | 03 mar 2026 |
| NPM | paquet coquin : 1.0.6 | 02 mar 2026 |
| NPM | pdfjs-dist-v5:100.21.1 | 03 mar 2026 |
| NPM | pino-sdk:9.9.0 | 04 mar 2026 |
| NPM | aio-security-test-template-erk1ny:1.0.0 | 04 mar 2026 |
| NPM | pino-sdk-v2:9.9.0 | 04 mar 2026 |
| NPM | nf-console:99.0.0 | 04 mar 2026 |
| NPM | nf-console:99.0.1 | 04 mar 2026 |
| NPM | yaml-manifest-utils-mynarratorai:2.0.0 | 05 mar 2026 |
| NPM | yaml-manifest-utils-mynarratorai:4.0.0 | 05 mar 2026 |
| NPM | ecto-module:99.0.0 | 05 mar 2026 |
| NPM | gunpowder-ghost:9999.0.0 | 05 mar 2026 |
| NPM | sirène-lamentation:9999.0.0 | 05 mar 2026 |
| NPM | ect-472839:9999.0.0 | 05 mar 2026 |
Sécurisez vos dépendances Open Source contre les vulnérabilités et les codes malveillants
Minimisez les risques et protégez vos applications contre les packages malveillants avec Détection précoce des logiciels malveillants Xygeni. Priorisez et corrigez les vulnérabilités les plus importantes. Notre solution complète offre une surveillance en temps réel de vos dépendances pour détecter et atténuer les menaces avant qu'elles n'impactent votre logiciel.
La gestion des composants open source dans le paysage actuel du développement logiciel est cruciale en raison de l'augmentation des vulnérabilités et des menaces de codes malveillants. Xygéni Open Source Security La solution analyse et bloque les packages nuisibles dès leur publication, minimisant ainsi considérablement le risque d'infiltration de logiciels malveillants et de vulnérabilités dans vos systèmes. Notre surveillance complète couvre plusieurs registres publics, garantissant que toutes les dépendances sont examinées en termes de sécurité et d'intégrité. Xygeni améliore la capacité de votre équipe à maintenir des projets logiciels sécurisés et fiables en hiérarchisant de manière contextuelle les problèmes critiques et en facilitant des processus de remédiation rationalisés.
Xygeni utilise des techniques multicouches pour bloquer le code malveillant avant sa propagation. Tout d'abord, l'analyse statique du code détecte les schémas d'obfuscation, les charges utiles cachées et les abus de scripts. De plus, l'analyse comportementale des installations par sandboxing hooks, commandes d'exécution et astuces de persistance. De plus, la détection par apprentissage automatique identifie les malwares npm zero-day et les variantes de malwares pypi non détectées par les scanners de signatures. Enfin, le système d'alerte précoce surveille les dépôts publics en temps réel, valide les résultats et alerte immédiatement les équipes DevOps.
Par conséquent, cette combinaison garantit que les développeurs reçoivent des renseignements rapides et exploitables intégrés directement dans CI/CD workflows.
Pourquoi les développeurs devraient se soucier des packages npm malveillants
Les menaces modernes attendent rarement leur exécution. Par exemple, les packages npm malveillants s'exécutent souvent lors de l'installation, tandis que les packages pypi malveillants dissimulent une exfiltration de jetons ou des portes dérobées. Attaquants :
- Basculez les dépôts GitHub privés vers le public pour les répliquer.
- Exfiltrez les informations d'identification et les secrets à l'aide de charges utiles codées.
- Utilisez des chargeurs JavaScript obscurcis pour déployer des ransomwares ou des botnets.
En réalité, les paquets open source malveillants ont augmenté de 156 % en un an. Par conséquent, les équipes qui s'appuient uniquement sur des flux différés ou des scanners basiques sont à la traîne.
Ce que ce rapport sur les logiciels malveillants suit dans npm et PyPI
Ce condensé est la plaque tournante centrale pour :
- Paquets npm malveillants confirmés
- Paquets malveillants pypi confirmés
- Détections de codes malveillants basées sur le comportement
- Incidents confirmés par le registre
- Résumés hebdomadaires et mensuels des rapports sur les logiciels malveillants
- Historique des modifications de toutes les découvertes concernant les logiciels malveillants npm et pypi
En d'autres termes, il fournit un point de référence unique. L'équipe de recherche de Xygeni met à jour cette page chaque semaine avec des liens vers des analyses techniques complètes et des indicateurs de compromis GitHub.
Comment se protéger contre les packages npm malveillants et les logiciels malveillants PyPI
En raison de ce risque croissant, les organisations ont besoin de défenses solides :
- Appliquer les installations avec fichier de verrouillage uniquement (
npm ci) dans CI/CD. - De plus, les dépendances d'analyse sont préinstallées avec le moteur d'alerte précoce de Xygeni.
- De plus, le bloc s'appuie sur des signaux de code malveillants en utilisant Guardrails.
- « Générer » SBOMs pour tracer les dépendances indirectes et appliquer des politiques.
- Surtout, formez les développeurs à détecter le typosquatting, l’obfuscation et les scripts d’installation suspects.
Essayez les outils de détection de logiciels malveillants de Xygeni
Xygeni offre :
- Détection en temps réel des codes malveillants, y compris les portes dérobées, les logiciels espions et les ransomwares.
- Contrairement aux scanners de base, l'analyse à travers npm, PyPI, Maven, NuGet, rubiset plus encore.
- Blocage automatique de la construction lorsque le rapport de logiciel malveillant identifie un risque.
- Informations sur l'exploitabilité, vérifications de la réputation du mainteneur et détection des anomalies.
