Malware Npm oggi continua ad evolversi, con gli aggressori che pubblicano codice dannoso, pacchetti npm dannosie Pacchetti dannosi PyPI progettato per indirizzare i flussi di lavoro di sviluppo, CI/CD pipelinese gli ecosistemi open-source. Digest del codice dannoso è il rapporto di ricerca in corso di Xygeni che traccia e verifica i pacchetti dannosi reali su npm, PyPI, Codice VS.e OpenVSX, tra cui backdoor confermate, furti di dati, payload per l'esfiltrazione di credenziali e campagne malware automatizzate multi-versione.
Il nostro team di ricerca aggiorna regolarmente questa pagina con risultati convalidati, indicatori di compromesso (CIO), modelli comportamentalie analisi tecnica. Di conseguenza, gli sviluppatori, team AppSece gli ingegneri della sicurezza possono stare al passo con malware npm oggi e l'emergere di attività dannose nei pacchetti che hanno un impatto sulle moderne catene di fornitura di software.
NPM Malware Today: Riepilogo settimanale 24-31 marzo 2026
I ricercatori hanno confermato più di 220 pacchetti dannosi nei registri pubblici durante questo periodo.
Osservazioni del set di dati
- La maggior parte dei pacchetti confermati sono stati pubblicati in npm
- Casi aggiuntivi interessati PyPI, Codice VS.e OpenVSX
- Pubblicazione ripetuta di contenuti dannosi nelle stesse famiglie di pacchetti e con nomi correlati.
- Modelli di versione elevati o atipici come 99.x, 100.x, 200.xe 9999.0.x
- Forte uso di tematica IA, enterpriseStile, strumento interno, SDKe flusso di lavoro dello sviluppatore modelli di denominazione
- Rilasci multipli coordinati di versioni progettati per assomigliare ad aggiornamenti di pacchetti legittimi
Rapporto mensile sui malware: pacchetti npm dannosi confermati a marzo 2026
Benvenuti all'ultima edizione del Xygeni Malicious Code Digest (edizione mensile). in Marzo 2026, il nostro team di ricerca ha confermato più di 270 pacchetti dannosi, principalmente attraverso npm, con ulteriori casi che interessano PyPI, VS Code e OpenVSX.
Marzo non è stato solo una questione di volume. Insieme a ondate editoriali guidate dall'automazione, campagne aggressive di gonfiaggio della versione, raggruppamento di famiglie di pacchettie impersonificazione di strumenti interni, abbiamo pubblicato una delle inchieste più importanti del mese:
- Attacco alla catena di approvvigionamento di LiteLLM: strumenti di sicurezza compromessi sono stati utilizzati per inserire una backdoor nell'infrastruttura di intelligenza artificiale e distribuire codice dannoso attraverso una catena di dipendenze ampiamente fidata
Non si trattava di semplici episodi di typosquatting. Nell'insieme più ampio dei dati di marzo, abbiamo osservato modelli di abuso delle credenziali, manipolazione della catena di approvvigionamento, riutilizzo ripetuto dello spazio dei nomie pubblicazione coordinata di contenuti dannosi progettati per integrarsi nei veri ambienti di sviluppo e nella distribuzione del software. pipelines.
Nell'insieme più ampio dei dati, abbiamo continuato a osservare pubblicazione multiversione con script, schemi di versioning gonfiati, Denominazione dei pacchetti a tema IA, SDK e impersonificazione dei componenti frontend, emulazione di strumenti di costruzione e internie tattiche classiche come confusione di dipendenza e esfiltrazione dei dati.
Questo rapporto fa parte del nostro continuo Digest del codice dannoso, dove convalidiamo nuove minacce e forniamo intelligenza fruibile per aiutare Team DevSecOps rimanere un passo avanti rischio della catena di fornitura del software.
| Ecosistema | CONFEZIONE | Data |
|---|---|---|
| npm | uxproject11:1.0.0 | Febbraio 23, 2026 |
| npm | opencraw:2026.2.15 | Febbraio 20, 2026 |
| npm | react-dropzone-truffle:100.21.9 | Febbraio 23, 2026 |
| npm | drikssy-sdk-test:1.0.8 | Febbraio 23, 2026 |
| npm | @powpegtest/powpeg:10.2.0 | Febbraio 23, 2026 |
| npm | eslint-validator:1.0.2 | Febbraio 23, 2026 |
| npm | selfbot-lofy:1.2.5 | Febbraio 23, 2026 |
| npm | ng-vzbootstrap:1.0.1 | Febbraio 23, 2026 |
| npm | ng-vzbootstrap:1.0.2 | Febbraio 23, 2026 |
| npm | vds-monarch:1.0.4 | Febbraio 23, 2026 |
Come rileviamo il codice dannoso nel malware npm e nel malware PyPI
Xygeni utilizza tecniche multilivello per bloccare il codice dannoso prima che si diffonda. Innanzitutto, l'analisi statica del codice rileva modelli di offuscamento, payload nascosti e abusi di script. Inoltre, il sandboxing comportamentale analizza l'installazione hooks, comandi di runtime e trucchi di persistenza. Inoltre, il rilevamento basato sull'apprendimento automatico identifica il malware npm zero-day e le varianti di malware pypi non rilevate dagli scanner di firme. Infine, il sistema di allerta precoce monitora i repository pubblici in tempo reale, convalida i risultati e avvisa immediatamente i team DevOps.
Di conseguenza, questa combinazione garantisce che gli sviluppatori ricevano informazioni rapide e fruibili integrate direttamente in CI/CD flussi di lavoro.
Perché gli sviluppatori dovrebbero preoccuparsi dei pacchetti npm dannosi
Le minacce moderne raramente attendono il runtime. Ad esempio, i pacchetti npm dannosi spesso vengono eseguiti durante l'installazione, mentre i pacchetti pypi dannosi nascondono esfiltrazioni di token o backdoor. Gli aggressori:
- Trasforma i repository GitHub privati in pubblici per replicarli.
- Esfiltrare credenziali e segreti utilizzando payload codificati.
- Utilizzare caricatori JavaScript offuscati per distribuire ransomware o botnet.
Infatti, i pacchetti open source dannosi sono aumentati del 156% in un anno. Pertanto, i team che si affidano solo a feed ritardati o scanner di base restano indietro.
Cosa traccia questo report sui malware in npm e PyPI
Questo digest è il fulcro centrale per:
- Pacchetti npm dannosi confermati
- Pacchetti dannosi pypi confermati
- Rilevamenti di codice dannoso basati sul comportamento
- Incidenti confermati dal registro
- Riepiloghi settimanali e mensili dei report sui malware
- Registro storico delle modifiche di tutti i malware npm e malware pypi rilevati
In altre parole, fornisce un unico punto di riferimento. Il team di ricerca di Xygeni aggiorna questa pagina settimanalmente con link ad analisi tecniche complete e IOC su GitHub.
Come proteggersi dai pacchetti npm dannosi e dal malware PyPI
A causa di questo rischio crescente, le organizzazioni necessitano di più di semplici controlli delle dipendenze. Difese efficaci contro i pacchetti npm dannosi e i pacchetti pypi dannosi richiedono sia controlli preventivi che controlli a runtime:
Imponi installazioni solo tramite Lockfile contro pacchetti npm dannosi
Usa il npm ci or pip install --require-hashes in CI/CD.
Ciò garantisce che venga utilizzato l'esatto albero delle dipendenze definito nei file di lock. Di conseguenza, gli aggressori non possono introdurre versioni modificate o typosquat di pacchetti npm dannosi.
Scansione pre-installazione per malware npm e malware PyPI
Integra il motore di allerta precoce di Xygeni per analizzare malware npm e malware pypi prima che i pacchetti raggiungano il tuo ambiente.
Inoltre, rileva i sospetti postinstall script, caricatori offuscati o URL C2 codificati.
Guardrails per bloccare le build con codice dannoso
Impostato guardrails per far fallire automaticamente le build se vengono rilevati pacchetti npm dannosi confermati o pacchetti pypi dannosi.
Ad esempio, interrompere le build su pacchetti con maintainer non pubblicati, modelli di offuscamento o corrispondenze IOC. Di conseguenza, il codice dannoso non passa mai inosservato.
Genera e convalida SBOMContro i pacchetti npm dannosi e il malware PyPI
Crea
SBOMs (CycloneDX, SPDX) per ogni build.
Successivamente, confronta con i pacchetti npm dannosi noti e i feed di malware pypi per tracciare sia le dipendenze dirette che quelle transitive.
Protezione delle credenziali e dei token da malware npm e malware PyPI
Molti pacchetti npm dannosi tentano di leggere .npmrc, .pypirco variabili di ambiente.
Pertanto, eseguite le build in contenitori protetti con un livello minimo di segreti esposti. Inoltre, utilizzate gestori di segreti anziché variabili di ambiente per bloccare l'abuso di codice dannoso.
Monitora le modifiche al registro e al responsabile nei pacchetti npm dannosi
Gli aggressori spesso dirottano progetti abbandonati.
In particolare, fate attenzione a improvvisi cambi di responsabile, salti di versione insoliti o pubblicazioni eccessive di malware npm e pacchetti dannosi pypi.
Formazione per sviluppatori sul rilevamento di codice dannoso in npm e PyPI
Insegna ai team a individuare segnali d'allarme quali:
- Nomi dei pacchetti con errori di battitura (
reqeustinvece direquest). - Insolito
installorpreparescript. - Pacchetti creati di recente con numeri di versione sospettosamente elevati.
Soprattutto, questa consapevolezza aiuta a rilevare precocemente il codice dannoso.
Rilevamento delle anomalie in fase di esecuzione per pacchetti npm dannosi e malware PyPI
Anche se il malware bypassa i controlli statici, il rilevamento in fase di esecuzione in CI/CD può catturare:
- Connessioni di rete inaspettate.
- Modifiche al file system al di fuori delle directory previste.
- Tentativi di persistenza in tutti i lavori.
Infine, questo garantisce che le minacce malware npm e pypi vengano bloccate anche dopo l'installazione.
Combinando questi controlli, i team impediscono ai pacchetti npm dannosi e ai pacchetti pypi dannosi di raggiungere la produzione pipelines.
Prova gli strumenti di rilevamento malware di Xygeni
Xygeni offre:
- Rilevamento in tempo reale di codice dannoso, tra cui backdoor, spyware e ransomware.
- A differenza degli scanner di base, analisi su npm, PyPI, Maven, NuGet, RubyGems e altro ancora.
- Blocco automatico della build quando il report sul malware identifica un rischio.
- Informazioni sulla sfruttabilità, controlli della reputazione del manutentore e rilevamento delle anomalie.
Resta informato
Il nostro team aggiorna questa pagina ogni settimana. Per ricevere avvisi e report dettagliati:
- Iscriviti alla nostra Newsletter
- Segui @XygeniSecurity su Linkedin
- Aggiungi questa pagina ai preferiti per seguire le ultime novità malware npm e malware pypi minacce
