Elke weekOnze malwaredetectiesystemen scannen duizenden nieuwe en bijgewerkte pakketten in openbare registers zoals npm en PyPI.
Deze week was bijzonder druk.
We hebben bevestigd 93 schadelijke pakketten, voornamelijk over NPM, met aanvullende gevallen in PyPI, OpenVSXen ComponistVerschillende verschenen in gecoördineerde clusters, met herhaalde kwaadaardige releases die onder dezelfde namen of binnen nauw verwante pakketfamilies werden gepubliceerd. Veel daarvan imiteerden andere. betaal- en afrekenmodules, enterprise en interne webpakketten, analyseklanten, UI-grondbeginselen, ontwikkelaarstools, componentverkenners, Cloud- en Google-themapakkettenen andere modules die algemeen worden vertrouwd in moderne ontwikkelingsworkflows.
Dit waren geen geïsoleerde afwijkingen. Wat deze week opviel, was de omvang van het herhaaldelijk publiceren van dezelfde pakketfamilies, het hergebruik van naamgevingspatronen en de manier waarop kwaadaardige pakketten werden vermomd als legitieme afhankelijkheden binnen echte softwareleveringen. pipelines.
Deze wekelijkse momentopname maakt deel uit van onze doorlopende Schadelijke codeoverzichtwaar we nieuwe bedreigingen valideren en bruikbare inlichtingen verstrekken om te helpen DevSecOps-teams hun beschermen pipelines voordat er schade optreedt.
Laten we eens kijken wat we deze week hebben ontdekt en waarom dat belangrijk is.
| Ecosysteem | Pakket | Datum |
|---|---|---|
| NPM | pa-marked:99.1.10 | 27-2026-XNUMX |
| pypi | moonbit-locale-compat:0.2.3 | 27-2026-XNUMX |
| NPM | @alfa.life.mapp/app.web:99.0.13 | 27-2026-XNUMX |
| NPM | @sbt_gitverse/analytics-client:99.0.1 | 27-2026-XNUMX |
| NPM | @frengki0707/google-cloud-kloon:1.33.1 | 27-2026-XNUMX |
| NPM | @alfa.life.mapp/app.web:99.0.14 | 27-2026-XNUMX |
| NPM | @tochka-ui/foundation:99.0.2 | 27-2026-XNUMX |
| openvsx | arcane-spark/ubel:0.1.0 | 28-2026-XNUMX |
| NPM | @2011-08-19/n:99.9.9 | 28-2026-XNUMX |
| NPM | @frengki0707/google-cloud-kloon:1.38.0 | 27-2026-XNUMX |
| NPM | @frengki0707/google-cloud-kloon:1.38.1 | 27-2026-XNUMX |
| NPM | @frengki0707/google-cloud-kloon:1.39.0 | 27-2026-XNUMX |
| NPM | @frengki0707/google-cloud-kloon:1.43.0 | 27-2026-XNUMX |
| NPM | @frengki0707/google-cloud-kloon:1.44.0 | 27-2026-XNUMX |
| NPM | google-logging-utils-internal:9.9.9 | 27-2026-XNUMX |
| NPM | google-logging-utils-internal:1.1.4 | 27-2026-XNUMX |
| NPM | @combinezone/thema:99.9.10 | 28-2026-XNUMX |
| NPM | maninos:1.3.0 | 28-2026-XNUMX |
| NPM | @inheritdoc/n:99.9.9 | 28-2026-XNUMX |
| NPM | @mts-pay/web-sdk:99.9.9 | 28-2026-XNUMX |
| NPM | @cashback/how-it-works-widget:99.9.9 | 28-2026-XNUMX |
| NPM | @cashback/postal-premium: 99.9.9 | 28-2026-XNUMX |
| NPM | @toprimitive/nif:99.9.9 | 28-2026-XNUMX |
| NPM | @tostringtag/nsettostringtag:99.9.9 | 28-2026-XNUMX |
| NPM | rtms-manager:1.4.0 | 28-2026-XNUMX |
| NPM | vscode-component-explorer:99.9.15 | 28-2026-XNUMX |
| NPM | js-component-explorer:99.9.16 | 27-2026-XNUMX |
| NPM | js-component-explorer:99.9.17 | 27-2026-XNUMX |
| NPM | @alfa.life.mapp/app.web:99.0.15 | 27-2026-XNUMX |
| NPM | @tochka-ui/foundation:99.0.3 | 27-2026-XNUMX |
| NPM | @alfa.life.mapp/app.web:99.0.16 | 27-2026-XNUMX |
| NPM | @sbt_gitverse/analytics-client:99.0.4 | 27-2026-XNUMX |
| NPM | @tochka-ui/foundation:99.0.4 | 27-2026-XNUMX |
| NPM | kl-b2c-ui-kit:99.0.1 | 27-2026-XNUMX |
| componist | dot-env-it/laravel-core-helper:v1.0.0 | 28-2026-XNUMX |
| NPM | uipath-ui-widgets:1.0.1 | 28-2026-XNUMX |
| NPM | standalone-apps:1.0.1 | 28-2026-XNUMX |
| NPM | @tw-utils/static:99.0.1 | 27-2026-XNUMX |
| NPM | @tw-models/storage:99.0.1 | 27-2026-XNUMX |
| NPM | @tw-marionette/clipboard:99.0.1 | 27-2026-XNUMX |
| NPM | @tw-marionette/input:99.0.1 | 27-2026-XNUMX |
| NPM | apollo-landing:1.0.1 | 28-2026-XNUMX |
| NPM | proces-app-taak:1.0.1 | 28-2026-XNUMX |
| NPM | apollo-vertex:1.0.1 | 28-2026-XNUMX |
| NPM | @ozon-complt/split:99.0.1 | 27-2026-XNUMX |
| NPM | @apple-pay-trust/destroy:99.0.1 | 27-2026-XNUMX |
| NPM | @apple-pay-trust/merchant-session:99.0.1 | 27-2026-XNUMX |
| NPM | @apple-pay-trust/start:99.0.1 | 27-2026-XNUMX |
| NPM | @google-pay-trust/finish:99.0.1 | 27-2026-XNUMX |
| NPM | @apple-pay-trust/finish:99.0.1 | 27-2026-XNUMX |
| NPM | @apple-pay-trust/validate-merchant:99.0.1 | 27-2026-XNUMX |
| NPM | @alfa.life.mapp/app.web:99.0.17 | 27-2026-XNUMX |
| NPM | @zirutan/utils:1.0.2 | 27-2026-XNUMX |
| NPM | @zirutan/utils:1.0.4 | 27-2026-XNUMX |
| NPM | report-ng:1.0.2 | 27-2026-XNUMX |
| NPM | kl-b2c-ui-kit:99.0.2 | 27-2026-XNUMX |
| NPM | @apple-pay-trust/authorize-payment:99.0.2 | 27-2026-XNUMX |
| NPM | @google-pay-trust/authorize-payment:99.0.2 | 27-2026-XNUMX |
| NPM | @ozon-complt/antibot-handler:99.0.2 | 27-2026-XNUMX |
| NPM | @sbt_gitverse/analytics-client:99.0.5 | 27-2026-XNUMX |
| NPM | @tw-models/storage:99.0.2 | 27-2026-XNUMX |
| NPM | frank-bot-gogle-cloning:1.1.0 | 27-2026-XNUMX |
| NPM | frank-research-poc-apple:1.1.4 | 27-2026-XNUMX |
| NPM | @google-pay-trust/init-google-pay-result:99.0.2 | 27-2026-XNUMX |
| NPM | @google-pay-trust/start:99.0.2 | 27-2026-XNUMX |
| NPM | @b2b_blocker/show_activation_error:99.0.2 | 27-2026-XNUMX |
| NPM | @business_promocode/cancel_promocode:99.0.2 | 27-2026-XNUMX |
| NPM | @business_promocode/apply_promocode:99.0.2 | 27-2026-XNUMX |
| NPM | @b2b_blocker/hide_activation_error:99.0.2 | 27-2026-XNUMX |
| NPM | apple-internal-pki-utils:1.0.1 | 27-2026-XNUMX |
| NPM | apple-internal-pki-trust-v5:1.0.0 | 27-2026-XNUMX |
| NPM | @taxmoninor/taxmon:99.0.6 | 28-2026-XNUMX |
| NPM | @alfa.life.mapp/app.web:99.0.19 | 28-2026-XNUMX |
| NPM | @apiary-annex/meta:99.0.4 | 28-2026-XNUMX |
| NPM | @apple-pay-trust/cancelled:99.0.3 | 28-2026-XNUMX |
| NPM | @apple-pay-trust/check-apple-pay:99.0.3 | 28-2026-XNUMX |
| NPM | @apple-pay-trust/check-apple-pay:99.0.4 | 28-2026-XNUMX |
| NPM | @apple-pay-trust/finish:99.0.3 | 28-2026-XNUMX |
| NPM | @apple-pay-trust/merchant-session:99.0.4 | 28-2026-XNUMX |
| NPM | @apple-pay-trust/merchant-session:99.0.3 | 28-2026-XNUMX |
| NPM | @apple-pay-trust/finish:99.0.4 | 28-2026-XNUMX |
| NPM | @apple-pay-trust/destroy:99.0.4 | 28-2026-XNUMX |
| NPM | @apple-pay-trust/destroy:99.0.3 | 28-2026-XNUMX |
| NPM | @pyme-web/web-api:99.0.4 | 28-2026-XNUMX |
| NPM | @google-pay-trust/authorize-payment:99.0.4 | 28-2026-XNUMX |
| NPM | @google-pay-trust/finish:99.0.3 | 28-2026-XNUMX |
| NPM | @google-pay-trust/init-google-pay:99.0.4 | 28-2026-XNUMX |
| NPM | @google-pay-trust/start:99.0.4 | 28-2026-XNUMX |
| NPM | kl-b2c-ui-kit:99.0.3 | 28-2026-XNUMX |
| NPM | @ozon-complt/antibot-handler:99.0.3 | 28-2026-XNUMX |
| NPM | @ozon-complt/antibot-handler:99.0.4 | 28-2026-XNUMX |
| NPM | @tw-models/storage:99.0.3 | 28-2026-XNUMX |
| NPM | @w3m-app/is_connected:99.0.4 | 28-2026-XNUMX |
| NPM | @w3m-frame/session_update:99.0.4 | 28-2026-XNUMX |
| NPM | accesso-angular-cache-buster:99.9.0 | 29-2026-XNUMX |
| NPM | accesso-angular-cache-buster:99.0.0 | 29-2026-XNUMX |
| NPM | hpsetup:2.0.0 | 29-2026-XNUMX |
Beveilig uw open source-afhankelijkheden tegen kwetsbaarheden en kwaadaardige code
Minimaliseer risico's en bescherm uw applicaties tegen schadelijke pakketten met Xygeni vroege malwaredetectie. Geef prioriteit aan en pak de kwetsbaarheden aan die er het meest toe doen. Onze uitgebreide oplossing biedt realtime monitoring van uw afhankelijkheden om bedreigingen te detecteren en te beperken voordat ze uw software beïnvloeden.
Het beheren van open-sourcecomponenten in het huidige softwareontwikkelingslandschap is van cruciaal belang vanwege de toenemende kwetsbaarheden en kwaadaardige codebedreigingen. Xygeni's Open Source Security oplossing scant en blokkeert schadelijke pakketten bij publicatie, waardoor het risico dat malware en kwetsbaarheden uw systemen infiltreren dramatisch wordt geminimaliseerd. Onze uitgebreide monitoring omvat meerdere openbare registers, zodat alle afhankelijkheden nauwkeurig worden gecontroleerd op veiligheid en integriteit. Xygeni verbetert het vermogen van uw team om veilige en betrouwbare softwareprojecten te onderhouden door kritieke problemen contextueel te prioriteren en gestroomlijnde herstelprocessen te faciliteren.
Xygeni gebruikt meerlaagse technieken om schadelijke code te stoppen voordat deze zich verspreidt. Ten eerste detecteert statische codeanalyse verduisteringspatronen, verborgen payloads en scriptmisbruik. Daarnaast analyseert gedragsmatige sandboxing de installatie. hooks, runtime-opdrachten en persistentietrucs. Bovendien identificeert machine learning-detectie zero-day NPM-malware en Pypi-malwarevarianten die door signature scanners worden gemist. Ten slotte bewaakt het Early Warning System openbare repositories in realtime, valideert bevindingen en waarschuwt DevOps-teams direct.
Als gevolg hiervan zorgt deze combinatie ervoor dat ontwikkelaars snel bruikbare informatie ontvangen die direct in hun systemen is geïntegreerd. CI/CD workflows.
Waarom ontwikkelaars zich zorgen moeten maken over kwaadaardige npm-pakketten
Moderne bedreigingen wachten zelden op runtime. Zo worden kwaadaardige npm-pakketten vaak uitgevoerd tijdens de installatie, terwijl schadelijke pypi-pakketten token-exfiltratie of backdoors verbergen. Aanvallers:
- Zet privé GitHub-opslagplaatsen om in openbare opslagplaatsen om ze te repliceren.
- Exfiltreer inloggegevens en geheimen met behulp van gecodeerde payloads.
- Gebruik verduisterde JavaScript-loaders om ransomware of botnets te implementeren.
Sterker nog, het aantal kwaadaardige opensourcepakketten is in één jaar tijd met 156% gestegen. Teams die alleen vertrouwen op vertraagde feeds of eenvoudige scanners, lopen daardoor achter.
Wat dit malwarerapport bijhoudt in NPM en PyPI
Dit overzicht is het centrale knooppunt voor:
- Bevestigde kwaadaardige npm-pakketten
- Bevestigde pypi-schadelijke pakketten
- Gedragsgebaseerde detectie van schadelijke code
- Door het register bevestigde incidenten
- Wekelijkse en maandelijkse malware-rapportsamenvattingen
- Historisch changelog van alle bevindingen met betrekking tot npm-malware en pypi-malware
Met andere woorden, het biedt één centraal referentiepunt. Het onderzoeksteam van Xygeni werkt deze pagina wekelijks bij met links naar volledige technische analyses en GitHub IOC's.
Hoe u zich kunt beschermen tegen schadelijke npm-pakketten en PyPI-malware
Vanwege dit groeiende risicoOrganisaties hebben een sterke verdediging nodig:
- Installaties alleen met lockfile afdwingen (
npm ci) in CI/CD. - Bovendien kunt u scanafhankelijkheden vooraf installeren met Xygeni's Early Warning Engine.
- Bovendien bouwt het blok op basis van signalen van kwaadaardige code met behulp van Guardrails.
- Genereer een SBOMom indirecte afhankelijkheden te traceren en beleid toe te passen.
- Train ontwikkelaars vooral in het detecteren van typosquatting, verduistering en verdachte installatiescripts.
Probeer de malwaredetectietools van Xygeni
Xygeni levert:
- Realtime detectie van schadelijke code, inclusief backdoors, spyware en ransomware.
- In tegenstelling tot eenvoudige scanners, analyseert npm dit proces. PyPI, Maven, NuGet, RubyEdelstenen En nog veel meer.
- Automatische blokkering van builds wanneer het malware-rapport een risico identificeert.
- Inzichten in exploiteerbaarheid, controles van de reputatie van beheerders en detectie van anomalieën.
