վնասակար npm փաթեթներ - pypi վնասակար փաթեթներ - վնասակար կոդ - վնասակար ծրագրերի մասին հաղորդում - npm վնասակար ծրագրեր - pypi վնասակար ծրագրեր

Npm Malware Today: Շաբաթական վնասակար կոդի ամփոփում

Npm malware today continues to evolve, with attackers publishing վնասակար կոդ, վնասակար npm փաթեթներ, եւ PyPI malicious packages designed to target development workflows, CI/CD pipelines, and open-source ecosystems. The Վնասակար կոդի համառոտագիր is Xygeni’s ongoing research report that tracks and verifies real malicious packages across npm, ՊԻՊԻ, VS կոդը, եւ OpenVSX, including confirmed backdoors, data-stealers, credential exfiltration payloads, and automated multi-version malware campaigns.

Our research team updates this page regularly with validated findings, indicators of compromise (IOCs), վարքային օրինաչափություններ, եւ Անալիտիկ. As a result, developers, AppSec teams, and security engineers can stay ahead of npm malware today and emerging malicious package activity impacting modern software supply chains.

NPM Malware Today: Weekly Summary 24–29 April 2026

Researchers confirmed 97 վնասակար փաթեթ across public registries during this period.

Dataset observations

  • Most confirmed packages were published in npm
  • Additional cases affected ՊԻՊԻ, OpenVSX, եւ Կոմպոզիտոր
  • Repeated malicious publishing across the same package families and related names
  • High or atypical version patterns such as 99.x, 99.9.x, եւ 1.0.x
  • Strong use of payment and checkout, enterprise-թայլ, internal web app, Վերլուծություն, UI foundation, developer-tool, cloud-themed, եւ component-related անվանակոչման օրինաչափություններ
  • Multiple coordinated version bursts designed to resemble legitimate package updates

View the full weekly malware report →

Monthly Malware Report: Confirmed Malicious npm Packages in April 2026

Welcome to the latest edition of the Xygeni Malicious Code Digest (Monthly Edition). Մեջ Ապրիլ 2026թ․, our research team confirmed more than 250 malicious packages, հիմնականում ամբողջ npm, with additional cases affecting PyPI, VS Code, OpenVSX, and Composer.

April was not only about volume. Alongside automation-driven publishing waves, aggressive version inflation campaigns, package family clustering, եւ internal-tool impersonation, we observed some of the month’s most notable patterns in coordinated malicious publishing across:

fake internal tooling, AI-themed packages, payment and checkout modules, analytics clients, frontend components, developer utilities, Kubernetes and cloud tooling, VS Code and OpenVSX extensions, and trusted brand-like package names designed to blend into real software delivery pipelines.

These were not simple typosquatting incidents. Across the broader Ապրիլ dataset, we observed credential abuse patterns, supply chain manipulation, repeated namespace reuse, եւ coordinated malicious publishing designed to blend into real developer environments and software delivery pipelines.

Across the broader dataset, we continued to observe scripted multi-version publishing, inflated versioning schemes, payment- and enterprise-themed naming, AI- and agentic-themed package names, SDK and frontend component impersonation, internal-tool mimicry, and classic tactics such as կախվածության խառնաշփոթ և տվյալների արտահանում.

This report is part of our ongoing Վնասակար կոդի համառոտագիր, where we validate new threats and provide գործող խելամտություն օգնել DevSecOps թիմեր առաջ մնալ ծրագրային ապահովման մատակարարման շղթայի ռիսկ.

էկոհամակարգը Փաթեթ Ամսաթիվ
npmpa-marked:99.1.10Ապրիլ 27, 2026
pypimoonbit-locale-compat:0.2.3Ապրիլ 27, 2026
npm@alfa.life.mapp/app.web:99.0.13Ապրիլ 27, 2026
npm@sbt_gitverse/analytics-client:99.0.1Ապրիլ 27, 2026
npm@frengki0707/google-cloud-clone:1.33.1Ապրիլ 27, 2026
npm@alfa.life.mapp/app.web:99.0.14Ապրիլ 27, 2026
npm@tochka-ui/foundation:99.0.2Ապրիլ 27, 2026
openvsxarcane-spark/ubel:0.1.0Ապրիլ 28, 2026
npm@2011-08-19/n:99.9.9Ապրիլ 28, 2026
npm@frengki0707/google-cloud-clone:1.38.0Ապրիլ 27, 2026

How We Detect Malicious Code in npm Malware and PyPI Malware

Xygeni-ն օգտագործում է բազմաշերտ տեխնիկաներ՝ վնասակար կոդը տարածվելուց առաջ կանխելու համար: Նախևառաջ, ստատիկ կոդի վերլուծությունը հայտնաբերում է խեղաթյուրման օրինաչափությունները, թաքնված բեռները և սկրիպտների չարաշահումը: Բացի այդ, վարքային sandboxing-ը վերլուծում է տեղադրումը: hooks, կատարման հրամաններ և կայունության հնարքներ: Ավելին, մեքենայական ուսուցման հայտնաբերումը նույնականացնում է զրոյական օրվա npm վնասակար ծրագրերը և pypi վնասակար ծրագրերը, որոնք բաց են թողնվել ստորագրության սկաներների կողմից: Վերջապես, վաղ նախազգուշացման համակարգը իրական ժամանակում վերահսկում է հանրային պահոցները, ստուգում է արդյունքները և անմիջապես տեղեկացնում DevOps թիմերին:

Արդյունքում, այս համադրությունը ապահովում է, որ մշակողները ստանան արագ, գործնականում կիրառելի հետախուզություն, որը ինտեգրված է անմիջապես CI/CD workflows.

Ինչու՞ պետք է մշակողները հոգ տանեն վնասակար npm փաթեթների մասին

Ժամանակակից սպառնալիքները հազվադեպ են սպասում կատարման ժամանակին: Օրինակ՝ վնասակար npm փաթեթները հաճախ գործարկվում են տեղադրման ընթացքում, մինչդեռ pypi վնասակար փաթեթները թաքցնում են տոկենների արտահոսքը կամ հետին դռները: Հարձակվողները՝

  • Փոխեք GitHub-ի մասնավոր պահոցները հանրայինի՝ դրանք կրկնօրինակելու համար։
  • Արտահոսեք մուտքային տվյալներ և գաղտնիքներ՝ օգտագործելով կոդավորված օգտակար բեռներ։
  • Օգտագործեք խճճված JavaScript բեռնիչներ՝ փրկագին պահանջող ծրագրեր կամ բոտնետներ տեղակայելու համար։

Փաստորեն, վնասակար բաց կոդով փաթեթների թիվը մեկ տարվա ընթացքում աճել է 156%-ով։ Հետևաբար, այն թիմերը, որոնք ապավինում են միայն ուշացած թարմացումներին կամ պարզ սկաներներին, հետ են մնում։

Ինչ է հետևում այս վնասակար ծրագրի զեկույցը npm-ում և PyPI-ում

Այս ամփոփագիրը կենտրոնական հանգույց է հետևյալի համար՝

  • Հաստատված վնասակար npm փաթեթներ
  • Հաստատված pypi վնասակար փաթեթներ
  • Վարքագծի վրա հիմնված վնասակար կոդի հայտնաբերումներ
  • Գրանցամատյանի կողմից հաստատված միջադեպեր
  • Շաբաթական և ամսական վնասակար ծրագրերի մասին զեկույցների ամփոփագրեր
  • Բոլոր npm վնասակար և pypi վնասակար ծրագրերի պատմական փոփոխությունների ցանկը

Այլ կերպ ասած, այն տրամադրում է մեկ հղման կետ: Xygeni-ի հետազոտական ​​​​խումբը շաբաթական թարմացնում է այս էջը՝ ամբողջական տեխնիկական վերլուծությունների և GitHub IOC-ների հղումներով:

Ինչպես պաշտպանվել վնասակար npm փաթեթներից և PyPI վնասակար ծրագրերից

Because of this growing risk, organizations need more than basic dependency checks. Strong defenses against malicious npm packages and pypi malicious packages require both preventive controls and runtime enforcement:

Enforce Lockfile-Only Installs Against Malicious npm Packages

օգտագործում npm ci or pip install --require-hashes in CI/CD.
This ensures the exact dependency tree defined in lockfiles is used. As a result, attackers cannot slip in modified or typosquatted versions of malicious npm packages.

Pre-Install Scanning for npm Malware and PyPI Malware

Integrate Xygeni’s Early Warning Engine to scan npm malware and pypi malware before packages reach your environment.
Moreover, detect suspicious postinstall scripts, obfuscated loaders, or hardcoded C2 URLs.

Guardrails to Block Builds with Malicious Code

հավաքածու guardrails to fail builds automatically if confirmed malicious npm packages or pypi malicious packages are detected.
For example, break builds on packages with unpublished maintainers, obfuscation patterns, or IOC matches. Consequently, malicious code never passes unnoticed.

Generate and Validate SBOMs Against Malicious npm Packages and PyPI Malware

Ստեղծել SBOMs (CycloneDX, SPDX) for every build.
Afterward, compare against known malicious npm packages and pypi malware feeds to track both direct and transitive dependencies.

Credential and Token Protection from npm Malware and PyPI Malware

Many malicious npm packages try to read .npmrc, .pypirc, or environment variables.
Therefore, run builds in hardened containers with minimal secrets exposed. Additionally, use secrets managers instead of environment variables to block malicious code abuse.

Monitor Registry and Maintainer Changes in Malicious npm Packages

Attackers often hijack abandoned projects.
In particular, watch for sudden maintainer swaps, unusual versioning jumps, or excessive publishes in npm malware and pypi malicious packages.

Developer Training on Detecting Malicious Code in npm and PyPI

Teach teams to spot red flags such as:

  • Package names with typos (reqeust փոխարեն request).
  • անսովոր install or prepare սցենարներ.
  • Recently created packages with suspiciously high version numbers.
    Above all, this awareness helps detect malicious code early.

Runtime Anomaly Detection for Malicious npm Packages and PyPI Malware

Even if malware bypasses static checks, runtime detection in CI/CD can catch:

  • Unexpected network connections.
  • File system modifications outside expected directories.
  • Persistence attempts across jobs.
    Finally, this ensures npm malware and pypi malware threats are stopped even after installation.

By combining these controls, teams prevent malicious npm packages and pypi malicious packages from ever reaching production pipelines.

Փորձեք Xygeni-ի վնասակար ծրագրերի հայտնաբերման գործիքները

Xygeni-ն մատուցում է.

  • Վնասակար կոդի, այդ թվում՝ հետին դռների, լրտեսող ծրագրերի և փրկագին պահանջող ծրագրերի իրական ժամանակում հայտնաբերում։
  • In contrast to basic scanners, analysis across npm, PyPI, Maven, NuGet, RubyGems, and more.
  • Ավտոմատ կառուցման արգելափակում, երբ վնասակար ծրագրի մասին հաղորդագրությունը ռիսկ է հայտնաբերում։
  • Շահագործելիության վերաբերյալ պատկերացումներ, պահպանողի հեղինակության ստուգումներ և անոմալիաների հայտնաբերում։

Մնալ տեղեկացված

Our team updates this page every week. To receive alerts and detailed reports:

  • Բաժանորդագրվել մեր Տեղեկագիր
  • Հետեւեք @XygeniSecurity on Linkedin
  • Bookmark this page to track the latest npm malware և pypi չարամիտ ծրագիր սպառնալիքները
sca-tools-software-composition-analysis-tools
Առաջնահերթություն տվեք, շտկեք և պաշտպանեք ձեր ծրագրային ռիսկերը
Ստացեք ձեր անվճար հաշիվը։
Ոչ մի վարկային քարտ չի պահանջվում:

Ապահովեք ձեր ծրագրային ապահովման մշակումը և մատակարարումը

Xygeni Product Suite-ի հետ