Npm-malware vandaag blijft zich ontwikkelen, waarbij aanvallers publiceren kwaadaardige code, kwaadaardige npm-pakkettenen PyPI-schadelijke pakketten ontworpen om ontwikkelingsworkflows te ondersteunen, CI/CD pipelinesen open-source ecosystemen. De Schadelijke codeoverzicht Dit is het doorlopende onderzoeksrapport van Xygeni dat daadwerkelijk kwaadaardige pakketten volgt en verifieert. NPM, PyPI, VS-codeen OpenVSXwaaronder bevestigde achterdeuren, datadiefstal, payloads voor het stelen van inloggegevens en geautomatiseerde malwarecampagnes met meerdere versies.
Ons onderzoeksteam werkt deze pagina regelmatig bij met gevalideerde bevindingen, indicatoren van compromis (IOC's), gedragspatronenen technische analyseAls gevolg hiervan ontwikkelen ontwikkelaars, AppSec-teamsen beveiligingsingenieurs kunnen een stap voor blijven npm malware vandaag en de opkomende kwaadaardige pakketactiviteit die de moderne softwareleveringsketens beïnvloedt.
NPM Malware Today: Wekelijkse samenvatting 24-29 april 2026
Onderzoekers bevestigden 97 schadelijke pakketten in openbare registers gedurende deze periode.
Datasetwaarnemingen
- De meeste bevestigde pakketten werden gepubliceerd in NPM
- Aanvullende gevallen getroffen PyPI, OpenVSXen Componist
- Herhaaldelijk kwaadwillig publiceren binnen dezelfde pakketfamilies en gerelateerde namen.
- Hoge of atypische versiepatronen zoals 99.x, 99.9.xen 1.0.x
- Sterk gebruik van betaling en afrekenen, enterprise-Stijl, interne webapplicatie, analytics, UI-basis, ontwikkelaarstool, wolkenthemaen component-gerelateerd patronen benoemen
- Meerdere gecoördineerde versie-updates die zijn ontworpen om op legitieme pakketupdates te lijken.
Maandelijks malwarerapport: bevestigde schadelijke npm-pakketten in april 2026
Welkom bij de laatste editie van de Xygeni Overzicht van kwaadaardige code (maandelijkse editie). in April 2026ons onderzoeksteam bevestigde dit. meer dan 250 kwaadaardige pakketten, voornamelijk over NPM, waarbij aanvullende gevallen van invloed zijn PyPI, VS Code, OpenVSX en Composer.
In april ging het niet alleen om volume. Daarnaast door automatisering gedreven publicatiegolven, agressieve inflatiecampagnes, pakketfamilie clusteringen interne-tool-imitatieWe hebben enkele van de meest opvallende patronen van de maand waargenomen op het gebied van gecoördineerde kwaadwillige publicaties, verspreid over:
nep-interne tools, AI-thema-pakketten, betaal- en afrekenmodules, analyseclients, frontend-componenten, ontwikkelaarstools, Kubernetes- en cloudtools, VS Code- en OpenVSX-extensies en vertrouwde, merkachtige pakketnamen die ontworpen zijn om op te gaan in de daadwerkelijke softwarelevering. pipelines.
Dit waren geen simpele gevallen van typosquatting. In bredere zin April dataset, we observeerden Patronen van misbruik van inloggegevens, Manipulatie van de toeleveringsketen, herhaaldelijk hergebruik van naamruimteen gecoördineerde kwaadwillige publicatie Ontworpen om naadloos aan te sluiten op echte ontwikkelomgevingen en softwareleveringsprocessen. pipelines.
In de gehele dataset bleven we het volgende waarnemen. gescripte publicatie van meerdere versies, opgeblazen versiebeheerschema's, betalings- en enterprise-thema naamgeving, Pakketnamen met een AI- of agentthema., SDK en frontend-component-imitatie, nabootsing van interne gereedschappenen klassieke tactieken zoals afhankelijkheid verwarring en data-exfiltratie.
Dit rapport maakt deel uit van ons lopende onderzoek. Schadelijke codeoverzichtwaar we nieuwe bedreigingen valideren en voorzien in bruikbare intelligentie om DevSecOps-teams blijf voorop lopen software supply chain-risico.
| Ecosysteem | Pakket | Datum |
|---|---|---|
| NPM | pa-marked:99.1.10 | 27-2026-XNUMX |
| pypi | moonbit-locale-compat:0.2.3 | 27-2026-XNUMX |
| NPM | @alfa.life.mapp/app.web:99.0.13 | 27-2026-XNUMX |
| NPM | @sbt_gitverse/analytics-client:99.0.1 | 27-2026-XNUMX |
| NPM | @frengki0707/google-cloud-kloon:1.33.1 | 27-2026-XNUMX |
| NPM | @alfa.life.mapp/app.web:99.0.14 | 27-2026-XNUMX |
| NPM | @tochka-ui/foundation:99.0.2 | 27-2026-XNUMX |
| openvsx | arcane-spark/ubel:0.1.0 | 28-2026-XNUMX |
| NPM | @2011-08-19/n:99.9.9 | 28-2026-XNUMX |
| NPM | @frengki0707/google-cloud-kloon:1.38.0 | 27-2026-XNUMX |
Hoe we schadelijke code detecteren in npm-malware en PyPI-malware
Xygeni gebruikt meerlaagse technieken om schadelijke code te stoppen voordat deze zich verspreidt. Ten eerste detecteert statische codeanalyse verduisteringspatronen, verborgen payloads en scriptmisbruik. Daarnaast analyseert gedragsmatige sandboxing de installatie. hooks, runtime-opdrachten en persistentietrucs. Bovendien identificeert machine learning-detectie zero-day NPM-malware en Pypi-malwarevarianten die door signature scanners worden gemist. Ten slotte bewaakt het Early Warning System openbare repositories in realtime, valideert bevindingen en waarschuwt DevOps-teams direct.
Als gevolg hiervan zorgt deze combinatie ervoor dat ontwikkelaars snel bruikbare informatie ontvangen die direct in hun systemen is geïntegreerd. CI/CD workflows.
Waarom ontwikkelaars zich zorgen moeten maken over kwaadaardige npm-pakketten
Moderne bedreigingen wachten zelden op runtime. Zo worden kwaadaardige npm-pakketten vaak uitgevoerd tijdens de installatie, terwijl schadelijke pypi-pakketten token-exfiltratie of backdoors verbergen. Aanvallers:
- Zet privé GitHub-opslagplaatsen om in openbare opslagplaatsen om ze te repliceren.
- Exfiltreer inloggegevens en geheimen met behulp van gecodeerde payloads.
- Gebruik verduisterde JavaScript-loaders om ransomware of botnets te implementeren.
Sterker nog, het aantal kwaadaardige opensourcepakketten is in één jaar tijd met 156% gestegen. Teams die alleen vertrouwen op vertraagde feeds of eenvoudige scanners, lopen daardoor achter.
Wat dit malwarerapport bijhoudt in NPM en PyPI
Dit overzicht is het centrale knooppunt voor:
- Bevestigde kwaadaardige npm-pakketten
- Bevestigde pypi-schadelijke pakketten
- Gedragsgebaseerde detectie van schadelijke code
- Door het register bevestigde incidenten
- Wekelijkse en maandelijkse malware-rapportsamenvattingen
- Historisch changelog van alle bevindingen met betrekking tot npm-malware en pypi-malware
Met andere woorden, het biedt één centraal referentiepunt. Het onderzoeksteam van Xygeni werkt deze pagina wekelijks bij met links naar volledige technische analyses en GitHub IOC's.
Hoe u zich kunt beschermen tegen schadelijke npm-pakketten en PyPI-malware
Vanwege dit groeiende risico hebben organisaties meer nodig dan alleen basale afhankelijkheidscontroles. Een sterke verdediging tegen kwaadaardige NPM-pakketten en PyPI-pakketten vereist zowel preventieve maatregelen als runtime-afdwinging:
Lockfile-only installaties afdwingen tegen kwaadaardige npm-pakketten
Gebruik npm ci or pip install --require-hashes in CI/CD.
Dit zorgt ervoor dat de exacte afhankelijkheidsboom zoals gedefinieerd in lockfiles wordt gebruikt. Hierdoor kunnen aanvallers geen gewijzigde of typosquatte versies van kwaadaardige npm-pakketten smokkelen.
Pre-installatiescan op npm-malware en PyPI-malware
Integreer Xygeni's Early Warning Engine om npm-malware en pypi-malware te scannen voordat pakketten uw omgeving bereiken.
Bovendien verdachte zaken detecteren postinstall scripts, verduisterde loaders of hardgecodeerde C2-URL's.
Guardrails om builds met schadelijke code te blokkeren
Set guardrails om builds automatisch te laten mislukken als er bevestigde schadelijke npm-pakketten of pypi-pakketten worden gedetecteerd.
Break builds worden bijvoorbeeld uitgevoerd op pakketten met ongepubliceerde beheerders, obfuscatiepatronen of IOC-matches. Schadelijke code blijft dus nooit onopgemerkt.
Genereren en valideren SBOMs Tegen kwaadaardige npm-pakketten en PyPI-malware
creëren SBOMs (CycloneDX, SPDX) voor elke build.
Vergelijk dit vervolgens met bekende schadelijke npm-pakketten en pypi-malwarefeeds om zowel directe als transitieve afhankelijkheden bij te houden.
Bescherming van inloggegevens en tokens tegen npm-malware en PyPI-malware
Veel kwaadaardige npm-pakketten proberen te lezen .npmrc, .pypirc, of omgevingsvariabelen.
Voer builds daarom uit in beveiligde containers met zo min mogelijk blootgestelde geheimen. Gebruik daarnaast geheimbeheerders in plaats van omgevingsvariabelen om misbruik van schadelijke code te voorkomen.
Controleer register- en onderhoudswijzigingen in kwaadaardige npm-pakketten
Aanvallers kapen vaak verlaten projecten.
Wees vooral alert op plotselinge wisselingen van beheerders, ongebruikelijke versiewijzigingen of overmatige publicaties in npm-malware en pypi-malwarepakketten.
Ontwikkelaarstraining voor het detecteren van schadelijke code in NPM en PyPI
Leer teams hoe ze waarschuwingssignalen kunnen herkennen, zoals:
- Pakketnamen met typefouten (
reqeustin plaats vanrequest). - Ongewoon
installorpreparescripts. - Onlangs aangemaakte pakketten met verdacht hoge versienummers.
Bovendien zorgt dit bewustzijn ervoor dat schadelijke code vroegtijdig wordt gedetecteerd.
Runtime-anomaliedetectie voor kwaadaardige npm-pakketten en PyPI-malware
Zelfs als malware statische controles omzeilt, kan runtime-detectie in CI/CD kan vangen:
- Onverwachte netwerkverbindingen.
- Wijzigingen in het bestandssysteem buiten de verwachte mappen.
- Pogingen tot persistentie in alle taken.
Ten slotte zorgt dit ervoor dat npm-malware en pypi-malwarebedreigingen worden gestopt, zelfs na installatie.
Door deze controles te combineren, voorkomen teams dat schadelijke npm-pakketten en pypi-pakketten ooit de productieomgeving bereiken. pipelines.
Probeer de malwaredetectietools van Xygeni
Xygeni levert:
- Realtime detectie van schadelijke code, inclusief backdoors, spyware en ransomware.
- In tegenstelling tot standaard scanners, analyses van npm, PyPI, Maven, NuGet, RubyGems en meer.
- Automatische blokkering van builds wanneer het malware-rapport een risico identificeert.
- Inzichten in exploiteerbaarheid, controles van de reputatie van beheerders en detectie van anomalieën.
Blijf op de hoogte
Ons team werkt deze pagina wekelijks bij. Om meldingen en gedetailleerde rapporten te ontvangen:
- Abonneer je op onze Nieuwsbrief
- Volg @XygeniSecurity op Linkedin
- Voeg deze pagina toe aan je bladwijzers om de laatste updates te volgen npm-malware en pypi-malware bedreigingen
