Bem-vindo à última edição do Xygeni Malicious Code Digest (edição mensal). Mais uma vez, nossas equipes de segurança se aprofundaram em dados de pacotes reais para identificar o que as ferramentas tradicionais geralmente ignoram. O objetivo? Capturar e bloquear pacotes maliciosos antes que eles cheguem à sua base de código ou pipeline.
Nas últimas semanas, confirmamos Mais de 180 pacotes maliciosos no npm (e casos ocasionais no PyPI)Ondas recentes mostram uso intenso de Publicação automatizada, inflação de versões e falsificação de identidade em ferramentas internas., juntamente com táticas clássicas como typosquatting, confusão de dependências e exfiltração de dados, todas projetadas para burlar verificações automatizadas e comprometer silenciosamente os ambientes de desenvolvimento e CI/CD pipelines.
Esta atualização mensal faz parte do nosso relatório de malware em andamento, onde publicamos descobertas semanais, confirme novas ameaças e ajude as equipes de DevSecOps a se manterem à frente. Se você quiser contexto completo sobre todos os pacotes maliciosos que analisamos, certifique-se de explore o resumo completo do código malicioso aqui.
Semana 4: Mais de 70 pacotes descobertos
| Ecossistema | Pacote | Data |
|---|---|---|
| npm | @acqui-calm-library/acqui-hero-carousel-section:999.99.999 | 23 de janeiro de 2026 |
| npm | com.unity.xr.visionos:2.3.2 | 27 de janeiro de 2026 |
| npm | vvvv4234:1.0.1 | 27 de janeiro de 2026 |
| npm | frontend-js-state-web:2.2.3 | 27 de janeiro de 2026 |
| npm | google-audit-tool:1.0.0 | 30 de janeiro de 2026 |
| npm | solhint-plugin-hyperlane:99.9.9 | 27 de janeiro de 2026 |
| npm | @row-components/pricing-embedded-sui:77.7.7 | 27 de janeiro de 2026 |
| npm | un112:1.0.39 | 23 de janeiro de 2026 |
| npm | não-remix:9.0.0 | 28 de janeiro de 2026 |
| npm | nota de tradução: 9.0.0 | 27 de janeiro de 2026 |
Semana 3: Mais de 44 pacotes descobertos
| Ecossistema | Pacote | Data |
|---|---|---|
| npm | react-server-dom-unbundled:9.2.31 | 16 de janeiro de 2026 |
| npm | natateste:1.1.0 | 21 de janeiro de 2026 |
| npm | pacote-vítima-a:1.0.1 | 21 de janeiro de 2026 |
| npm | worldnormal:1.0.0 | 21 de janeiro de 2026 |
| npm | typedoc-plugin-fuel-variants:1.0.1 | 21 de janeiro de 2026 |
| npm | posição mundial: 1.0.0 | 21 de janeiro de 2026 |
| npm | vworldviewdir:1.0.0 | 21 de janeiro de 2026 |
| npm | formulários-novo-design:99.99.9 | 21 de janeiro de 2026 |
| npm | dux-portal-privacy:4.9.121 | 16 de janeiro de 2026 |
| npm | utilitários de teste de apresentação: 0.0.1 | 21 de janeiro de 2026 |
Semana 2: Mais de 30 pacotes descobertos
| Ecossistema | Pacote | Data |
|---|---|---|
| npm | jz-test-npm:114.8.10 | 12 de janeiro de 2026 |
| npm | internallib_v147:1.0.1 | 12 de janeiro de 2026 |
| npm | jz-test-npm:114.8.114 | 12 de janeiro de 2026 |
| npm | formulários-novo-design:99.99.9 | 12 de janeiro de 2026 |
| npm | s3-cache-handler:0.1.0 | 12 de janeiro de 2026 |
| npm | @icecreampie/internallib_v147:1.0.1 | 12 de janeiro de 2026 |
| npm | utilitários de teste de apresentação: 0.0.1 | 12 de janeiro de 2026 |
| npm | não-remix:9.0.0 | 12 de janeiro de 2026 |
| npm | lyonscg:88.8.8 | 12 de janeiro de 2026 |
| npm | @gwp-gtmt-components/event-listener:77.7.7 | 12 de janeiro de 2026 |
Semana 1: Mais de 40 pacotes descobertos
| Ecossistema | Pacote | Data |
|---|---|---|
| npm | não escapado:1.0.0 | 05 de janeiro de 2026 |
| npm | github-badge-bot:1.8.2 | 02 de janeiro de 2026 |
| pypi | system-health-check-test-unique:0.3.4 | 02 de janeiro de 2026 |
| pypi | pdatainstaller:1.0.0 | 02 de janeiro de 2026 |
| pypi | qdatainstaller:1.0.1 | 05 de janeiro de 2026 |
| npm | 1231dai:1.0.0 | 02 de janeiro de 2026 |
| npm | shopify-perf-kit:8.2.31 | 02 de janeiro de 2026 |
| npm | shopify-perf-kit:8.2.32 | 02 de janeiro de 2026 |
| npm | hello-world-npm-demo-example:1.0.0 | 06 de janeiro de 2026 |
| npm | hello-world-npm-demo-example:1.0.1 | 06 de janeiro de 2026 |
Proteja suas dependências de código aberto contra vulnerabilidades e códigos maliciosos
O malware não é mais apenas um risco teórico, ele já está escondido em pacotes públicos. Com Detecção precoce de malware da Xygeni, você pode reduzir a exposição detectando ameaças assim que forem publicados, antes que cheguem até você pipeline.
Nosso mecanismo de varredura e priorização em tempo real monitora continuamente registros públicos como npm e PyPI. Pacotes maliciosos são bloqueados, sinalizados e classificados com base no impacto, para que você saiba exatamente o que precisa ser corrigido e quando. Sejam erros de digitação, confusão de dependências ou roubo de credenciais, ajudamos sua equipe a se manter à frente.
Se você deseja visibilidade total das descobertas semanais e mensais, verifique o relatório completo Resumo de código malicioso.
Mantenha-se seguro. Mantenha-se rápido. Mantenha o controle com a Xygeni.
