Złośliwe pakiety npm - złośliwe pakiety pypi - złośliwy kod - raport o złośliwym oprogramowaniu - złośliwe oprogramowanie npm - złośliwe oprogramowanie pypi

Npm Malware Today: Tygodniowy przegląd złośliwego kodu

Npm malware today continues to evolve, with attackers publishing złośliwy kod, złośliwe pakiety npm, PyPI malicious packages designed to target development workflows, CI/CD pipelines, and open-source ecosystems. The Streszczenie złośliwego kodu is Xygeni’s ongoing research report that tracks and verifies real malicious packages across Npm, PyPI, Kod VS, OpenVSX, including confirmed backdoors, data-stealers, credential exfiltration payloads, and automated multi-version malware campaigns.

Our research team updates this page regularly with validated findings, wskaźniki zagrożenia (IOC), wzorce zachowań, analiza techniczna. As a result, developers, AppSec teams, and security engineers can stay ahead of npm malware today and emerging malicious package activity impacting modern software supply chains.

NPM Malware Today: Weekly Summary 24–29 April 2026

Naukowcy potwierdzili 97 XNUMX złośliwych pakietów across public registries during this period.

Dataset observations

  • Most confirmed packages were published in Npm
  • Additional cases affected PyPI, OpenVSX, Komponować
  • Repeated malicious publishing across the same package families and related names
  • High or atypical version patterns such as 99.x, 99.9.x, 1.0.x
  • Strong use of payment and checkout, enterprise-Style, internal web app, analityka, UI foundation, developer-tool, cloud-themed, component-related wzorce nazewnictwa
  • Multiple coordinated version bursts designed to resemble legitimate package updates

View the full weekly malware report →

Monthly Malware Report: Confirmed Malicious npm Packages in April 2026

Zapraszamy do najnowszego wydania magazynu Xygeni Malicious Code Digest (Monthly Edition), w Kwiecień 2026 , our research team confirmed more than 250 malicious packages, głównie w poprzek Npm, with additional cases affecting PyPI, VS Code, OpenVSX, and Composer.

April was not only about volume. Alongside automation-driven publishing waves, aggressive version inflation campaigns, package family clustering, internal-tool impersonation, we observed some of the month’s most notable patterns in coordinated malicious publishing across:

fake internal tooling, AI-themed packages, payment and checkout modules, analytics clients, frontend components, developer utilities, Kubernetes and cloud tooling, VS Code and OpenVSX extensions, and trusted brand-like package names designed to blend into real software delivery pipelines.

These were not simple typosquatting incidents. Across the broader kwiecień dataset, we observed credential abuse patterns, supply chain manipulation, repeated namespace reuse, coordinated malicious publishing designed to blend into real developer environments and software delivery pipelines.

Across the broader dataset, we continued to observe scripted multi-version publishing, inflated versioning schemes, payment- and enterprise-themed naming, AI- and agentic-themed package names, SDK and frontend component impersonation, internal-tool mimicry, and classic tactics such as pomieszanie zależności oraz eksfiltracja danych.

This report is part of our ongoing Streszczenie złośliwego kodu, where we validate new threats and provide informacje wywiadowcze nadające się do wykorzystania aby pomóc DevSecOps teams być o krok przed ryzyko łańcucha dostaw oprogramowania.

ekosystem Pakiet Data
Npmpa-marked:99.1.10Kwiecień 27, 2026
pipimoonbit-locale-compat:0.2.3Kwiecień 27, 2026
Npm@alfa.life.mapp/app.web:99.0.13Kwiecień 27, 2026
Npm@sbt_gitverse/analytics-client:99.0.1Kwiecień 27, 2026
Npm@frengki0707/google-cloud-clone:1.33.1Kwiecień 27, 2026
Npm@alfa.life.mapp/app.web:99.0.14Kwiecień 27, 2026
Npm@tochka-ui/foundation:99.0.2Kwiecień 27, 2026
openvsxarcane-spark/ubel:0.1.0Kwiecień 28, 2026
Npm@2011-08-19/n:99.9.9Kwiecień 28, 2026
Npm@frengki0707/google-cloud-clone:1.38.0Kwiecień 27, 2026

How We Detect Malicious Code in npm Malware and PyPI Malware

Xygeni wykorzystuje wielowarstwowe techniki, aby zatrzymać złośliwy kod, zanim się rozprzestrzeni. Przede wszystkim statyczna analiza kodu wykrywa wzorce zaciemniania, ukryte ładunki i nadużycia skryptów. Dodatkowo, analiza behawioralna sandboxingu instaluje… hooks, polecenia środowiska uruchomieniowego i sztuczki związane z trwałością. Co więcej, funkcja wykrywania uczenia maszynowego identyfikuje warianty złośliwego oprogramowania typu zero-day npm i pypi, które są pomijane przez skanery sygnatur. Wreszcie, system wczesnego ostrzegania monitoruje publiczne repozytoria w czasie rzeczywistym, weryfikuje wyniki i natychmiast powiadamia zespoły DevOps.

Dzięki temu połączeniu deweloperzy otrzymują szybkie i przydatne informacje, zintegrowane bezpośrednio z CI/CD przepływy pracy.

Dlaczego programiści powinni zwracać uwagę na złośliwe pakiety npm

Współczesne zagrożenia rzadko czekają na uruchomienie. Na przykład złośliwe pakiety npm często uruchamiają się podczas instalacji, podczas gdy złośliwe pakiety pypi ukrywają wyciek tokenów lub tylne furtki. Atakujący:

  • Zmień prywatne repozytoria GitHub na publiczne, aby je powielić.
  • Wykradaj dane uwierzytelniające i poufne za pomocą zakodowanych ładunków.
  • Użyj zaciemnionych programów ładujących JavaScript do wdrażania oprogramowania ransomware lub botnetów.

W rzeczywistości liczba złośliwych pakietów open source wzrosła o 156% w ciągu jednego roku. W rezultacie zespoły, które polegają jedynie na opóźnionych źródłach danych lub podstawowych skanerach, pozostają w tyle.

Co raport o złośliwym oprogramowaniu śledzi w npm i PyPI

Niniejszy skrót stanowi centralny punkt dla:

  • Potwierdzone złośliwe pakiety npm
  • Potwierdzono złośliwe pakiety pypi
  • Wykrywanie złośliwego kodu na podstawie zachowania
  • Incydenty potwierdzone przez rejestr
  • Podsumowania raportów o złośliwym oprogramowaniu tygodniowe i miesięczne
  • Historyczny dziennik zmian wszystkich ustaleń dotyczących złośliwego oprogramowania npm i pypi

Innymi słowy, zapewnia pojedynczy punkt odniesienia. Zespół badawczy Xygeni co tydzień aktualizuje tę stronę, dodając linki do pełnych analiz technicznych i raportów IOC na GitHubie.

Jak chronić się przed złośliwymi pakietami npm i złośliwym oprogramowaniem PyPI

Because of this growing risk, organizations need more than basic dependency checks. Strong defenses against malicious npm packages and pypi malicious packages require both preventive controls and runtime enforcement:

Enforce Lockfile-Only Installs Against Malicious npm Packages

Zastosowanie npm ci or pip install --require-hashes in CI/CD.
This ensures the exact dependency tree defined in lockfiles is used. As a result, attackers cannot slip in modified or typosquatted versions of malicious npm packages.

Pre-Install Scanning for npm Malware and PyPI Malware

Integrate Xygeni’s Early Warning Engine to scan npm malware and pypi malware before packages reach your environment.
Moreover, detect suspicious postinstall scripts, obfuscated loaders, or hardcoded C2 URLs.

Guardrails to Block Builds with Malicious Code

Zestaw guardrails to fail builds automatically if confirmed malicious npm packages or pypi malicious packages are detected.
For example, break builds on packages with unpublished maintainers, obfuscation patterns, or IOC matches. Consequently, malicious code never passes unnoticed.

Generate and Validate SBOMs Against Malicious npm Packages and PyPI Malware

Stwórz SBOMs (CycloneDX, SPDX) for every build.
Afterward, compare against known malicious npm packages and pypi malware feeds to track both direct and transitive dependencies.

Credential and Token Protection from npm Malware and PyPI Malware

Many malicious npm packages try to read .npmrc, .pypirc, or environment variables.
Therefore, run builds in hardened containers with minimal secrets exposed. Additionally, use secrets managers instead of environment variables to block malicious code abuse.

Monitor Registry and Maintainer Changes in Malicious npm Packages

Attackers often hijack abandoned projects.
In particular, watch for sudden maintainer swaps, unusual versioning jumps, or excessive publishes in npm malware and pypi malicious packages.

Developer Training on Detecting Malicious Code in npm and PyPI

Teach teams to spot red flags such as:

  • Package names with typos (reqeust zamiast request).
  • Niezwykły install or prepare skrypty.
  • Recently created packages with suspiciously high version numbers.
    Above all, this awareness helps detect malicious code early.

Runtime Anomaly Detection for Malicious npm Packages and PyPI Malware

Even if malware bypasses static checks, runtime detection in CI/CD can catch:

  • Unexpected network connections.
  • File system modifications outside expected directories.
  • Persistence attempts across jobs.
    Finally, this ensures npm malware and pypi malware threats are stopped even after installation.

By combining these controls, teams prevent malicious npm packages and pypi malicious packages from ever reaching production pipelines.

Wypróbuj narzędzia Xygeni do wykrywania złośliwego oprogramowania

Xygeni dostarcza:

  • Wykrywanie w czasie rzeczywistym złośliwego kodu, w tym tylnych furtek, oprogramowania szpiegującego i oprogramowania wymuszającego okup.
  • In contrast to basic scanners, analysis across npm, PyPI, Maven, NuGet, RubyGems, and more.
  • Automatyczne blokowanie kompilacji, gdy raport o złośliwym oprogramowaniu zidentyfikuje zagrożenie.
  • Wgląd w podatność na wykorzystanie luk, sprawdzanie reputacji osób odpowiedzialnych za utrzymanie oraz wykrywanie anomalii.

Bądź na bieżąco

Our team updates this page every week. To receive alerts and detailed reports:

  • Zapisz się do naszego Newsletter
  • Obserwuj @XygeniSecurity na Linkedin
  • Bookmark this page to track the latest npm malware oraz złośliwe oprogramowanie pypi zagrożenia
sca-tools-oprogramowanie-narzędzia-analizy-kompozycji
Określ priorytety, rozwiąż problemy i zabezpiecz zagrożenia związane z oprogramowaniem
Załóż darmowe konto.
Nie wymagamy karty kredytowej.

Zabezpiecz swoje oprogramowanie i dostarczanie

z pakietem produktów Xygeni