malware Npm hoje continua a evoluir, com os atacantes publicando código malicioso, pacotes npm maliciosos e pacotes maliciosos pypi Projetado para otimizar fluxos de trabalho de desenvolvimento, CI/CD pipelinee ecossistemas de código aberto. O Malicious Code Digest é um relatório de pesquisa contínuo da Xygeni que rastreia e verifica pacotes maliciosos reais no npm e no PyPI, incluindo backdoors confirmados, ladrões de dados, payloads de exfiltração de credenciais e campanhas automatizadas de malware com múltiplas versões.
Nossa equipe de pesquisa atualiza esta página regularmente com descobertas validadas, indicadores de comprometimento (IOCs), padrões de comportamento e análises técnicas. Como resultado, desenvolvedores, equipes de segurança de aplicativos e engenheiros de segurança podem se manter à frente das ameaças. malware npm hoje e a atividade emergente de pacotes maliciosos que impactam as cadeias de suprimentos de software modernas.
NPM Malware Today: Resumo Semanal de 20 a 27 de fevereiro de 2026
Pesquisadores confirmaram 34 pacotes maliciosos, todos publicados no ecossistema npm durante esse período.
Esta semana incluiu duas investigações de maior impacto:
- An campanha de roubo de informações baseada em npm envolvendo roubo de credenciais e sequestro de sessão.
- A garfo Baileys malicioso visando a cadeia de suprimentos da biblioteca do WhatsApp.
Características observadas (com base no conjunto de dados)
- Distribuição 100% npm
- Publicação repetida de múltiplas versões (
conduit-utils,launch-darkly-js) - Números de versão altos ou atípicos (99.x, 199.99.x)
- Padrões de nomenclatura internos ou no estilo SDK
Não é possível estabelecer uma ligação definitiva entre campanhas apenas com base na menção de nomes.
Relatório Mensal de Malware: Pacotes npm maliciosos confirmados em janeiro de 2026
Bem-vindo à última edição do Resumo de Códigos Maliciosos da Xygeni (Edição Mensal)Em fevereiro de 2026, nossa equipe de pesquisa confirmou. mais de 230 pacotes maliciosos, principalmente no npm, com casos isolados no PyPI.
Fevereiro não foi apenas sobre volume. Além das ondas de publicação impulsionadas pela automação e das agressivas campanhas de inflação de versões, realizamos duas investigações de grande impacto:
- Uma descoberta recente campanha de roubo de informações baseada em npm Capaz de roubo de credenciais e sequestro de sessão em ambientes de desenvolvimento.
- A bifurcação maliciosa visando a cadeia de suprimentos da biblioteca do WhatsApp da Baileys, abusando da confiança em um componente popular do ecossistema para infiltrar árvores de dependência.
Esses não foram simples casos de typosquatting. Ambos os casos envolveram abuso de credenciais e técnicas de manipulação da cadeia de suprimentos capazes de impactar resultados reais. CI/CD pipelines.
Em todo o conjunto de dados mais amplo, continuamos a observar publicação de múltiplas versões por meio de scripts, esquemas de versionamento inflados, falsificação de identidade de ferramentas internas e táticas clássicas, como confusão de dependências e exfiltração de dados.
Este relatório faz parte do nosso trabalho contínuo. Resumo de código malicioso, onde validamos novas ameaças e fornecemos informações práticas para ajudar as equipes de DevSecOps a se manterem à frente dos riscos na cadeia de suprimentos.
| Ecossistema | Pacote | Data |
|---|---|---|
| npm | uxproject11:1.0.0 | 23 fevereiro de 2026 |
| npm | opencraw:2026.2.15 | 20 fevereiro de 2026 |
| npm | react-dropzone-truffle:100.21.9 | 23 fevereiro de 2026 |
| npm | drikssy-sdk-test:1.0.8 | 23 fevereiro de 2026 |
| npm | @powpegtest/powpeg:10.2.0 | 23 fevereiro de 2026 |
| npm | eslint-validator:1.0.2 | 23 fevereiro de 2026 |
| npm | selfbot-lofy:1.2.5 | 23 fevereiro de 2026 |
| npm | ng-vzbootstrap:1.0.1 | 23 fevereiro de 2026 |
| npm | ng-vzbootstrap:1.0.2 | 23 fevereiro de 2026 |
| npm | vds-monarch:1.0.4 | 23 fevereiro de 2026 |
Como detectamos código malicioso em malware npm e malware PyPI
A Xygeni utiliza técnicas multicamadas para bloquear códigos maliciosos antes que eles se espalhem. Primeiramente, a análise estática de código detecta padrões de ofuscação, payloads ocultos e abuso de scripts. Além disso, a análise de sandbox comportamental instala hooks, comandos de tempo de execução e truques de persistência. Além disso, a detecção por aprendizado de máquina identifica malware npm de dia zero e variantes de malware pypi não detectadas pelos scanners de assinatura. Por fim, o Sistema de Alerta Precoce monitora repositórios públicos em tempo real, valida as descobertas e alerta as equipes de DevOps imediatamente.
Como resultado, essa combinação garante que os desenvolvedores recebam inteligência rápida e acionável integrada diretamente em CI/CD workflows.
Por que os desenvolvedores devem se preocupar com pacotes npm maliciosos
Ameaças modernas raramente aguardam execução. Por exemplo, pacotes npm maliciosos costumam ser executados durante a instalação, enquanto pacotes pypi maliciosos ocultam exfiltração de tokens ou backdoors. Atacantes:
- Transforme repositórios privados do GitHub em públicos para replicá-los.
- Exfiltre credenciais e segredos usando cargas úteis codificadas.
- Use carregadores JavaScript ofuscados para implantar ransomware ou botnets.
De fato, os pacotes maliciosos de código aberto aumentaram 156% em um ano. Portanto, equipes que dependem apenas de feeds atrasados ou scanners básicos ficam para trás.
O que este relatório de malware rastreia no npm e no PyPI
Este resumo é o centro central para:
- Pacotes npm maliciosos confirmados
- Pacotes maliciosos pypi confirmados
- Detecções de código malicioso baseadas em comportamento
- Incidentes confirmados pelo registro
- Resumos de relatórios semanais e mensais de malware
- Registro de alterações histórico de todas as descobertas de malware npm e malware pypi
Em outras palavras, ele fornece um único ponto de referência. A equipe de pesquisa da Xygeni atualiza esta página semanalmente com links para análises técnicas completas e IOCs do GitHub.
Como se proteger contra pacotes npm maliciosos e malware PyPI
Devido a esse risco crescente, as organizações precisam de mais do que verificações básicas de dependência. Defesas robustas contra pacotes npm e pypi maliciosos exigem controles preventivos e execução em tempo de execução:
Aplicar instalações somente de Lockfile contra pacotes npm maliciosos
Uso npm ci or pip install --require-hashes in CI/CD.
Isso garante que a árvore de dependências exata definida nos lockfiles seja usada. Como resultado, invasores não conseguem inserir versões modificadas ou com erros de digitação de pacotes npm maliciosos.
Verificação de pré-instalação para malware npm e malware PyPI
Integre o Early Warning Engine do Xygeni para escanear malware npm e malware pypi antes que os pacotes cheguem ao seu ambiente.
Além disso, detecte suspeitos postinstall scripts, carregadores ofuscados ou URLs C2 codificadas.
Guardrails para bloquear compilações com código malicioso
Conjunto guardrails para falhar compilações automaticamente se pacotes npm maliciosos confirmados ou pacotes pypi maliciosos forem detectados.
Por exemplo, quebre compilações em pacotes com mantenedores não publicados, padrões de ofuscação ou correspondências de IOC. Consequentemente, códigos maliciosos nunca passam despercebidos.
Gerar e Validar SBOMs Contra pacotes npm maliciosos e malware PyPI
Criar SBOMs (CycloneDX, SPDX) para cada compilação.
Depois, compare com pacotes npm maliciosos conhecidos e feeds de malware pypi para rastrear dependências diretas e transitivas.
Proteção de credenciais e tokens contra malware npm e malware PyPI
Muitos pacotes npm maliciosos tentam ler .npmrc, .pypirc, ou variáveis de ambiente.
Portanto, execute compilações em contêineres reforçados com o mínimo de segredos expostos. Além disso, use gerenciadores de segredos em vez de variáveis de ambiente para bloquear o uso indevido de código malicioso.
Monitore alterações de registro e mantenedor em pacotes npm maliciosos
Os invasores geralmente sequestram projetos abandonados.
Em particular, fique atento a trocas repentinas de mantenedores, saltos incomuns de versões ou publicações excessivas em pacotes maliciosos npm e pypi.
Treinamento para desenvolvedores sobre detecção de código malicioso em npm e PyPI
Ensine as equipes a identificar sinais de alerta, como:
- Nomes de pacotes com erros de digitação (
reqeustem vez derequest). - Incomum
installorpreparescripts. - Pacotes criados recentemente com números de versão suspeitosamente altos.
Acima de tudo, essa conscientização ajuda a detectar códigos maliciosos precocemente.
Detecção de anomalias em tempo de execução para pacotes npm maliciosos e malware PyPI
Mesmo que o malware ignore as verificações estáticas, a detecção em tempo de execução em CI/CD pode pegar:
- Conexões de rede inesperadas.
- Modificações no sistema de arquivos fora dos diretórios esperados.
- Tentativas de persistência entre tarefas.
Por fim, isso garante que as ameaças de malware npm e pypi sejam interrompidas mesmo após a instalação.
Ao combinar esses controles, as equipes impedem que pacotes npm maliciosos e pacotes pypi maliciosos cheguem à produção. pipelines.
Experimente as ferramentas de detecção de malware da Xygeni
A Xygeni oferece:
- Detecção em tempo real de códigos maliciosos, incluindo backdoors, spyware e ransomware.
- Em contraste com scanners básicos, análises em npm, PyPI, Maven, NuGet, RubyGems e muito mais.
- Bloqueio automático de compilação quando o relatório de malware identifica risco.
- Insights de explorabilidade, verificações de reputação do mantenedor e detecção de anomalias.
Fique informado
Nossa equipe atualiza esta página semanalmente. Para receber alertas e relatórios detalhados:
- Assine nossa Newsletter
- Siga-nos @XygeniSecurity no Linkedin
- Adicione esta página aos favoritos para acompanhar as últimas novidades malware npm e malware pypi ameaças
