Códigos maliciosos e pacotes maliciosos continuaram a infiltrar-se em ecossistemas de código aberto ao longo de 2025. Pesquisadores da Xygeni confirmaram isso por meio de relatórios semanais e mensais. 3,180 pacotes maliciosos, incluindo grandes campanhas de malware npm impulsionado por publicação automatizada de múltiplas versões, falsificação de identidade das DevTools e abuso da cadeia de suprimentos. CI/CD pipelinee fluxos de trabalho de desenvolvedores.
Este resumo anual consolida todas as informações confirmadas. pacotes maliciosos Detectada em 2025, a pesquisa destaca as principais famílias de ameaças, os comportamentos dos atacantes e as técnicas de evasão utilizadas para contornar os controles de registro e as ferramentas de segurança tradicionais.
2025: O ano em números
- 3,180 pacotes maliciosos confirmados ao longo do ano
- Crescimento sustentado em atividade de malware do npm
- Publicação robusta impulsionada por automação e reenvios frequentes da família.
- Meses de maior atividade: Outubro Novembro Dezembro
- Mudança em direção a enterprise-style e representação do DevTools
Em conjunto, essas tendências confirmam que A distribuição de código malicioso por meio de ecossistemas de pacotes tornou-se persistente, escalável e industrializada..
Destaques mês a mês
Janeiro/Março
Ondas iniciais de pacotes maliciosos Impulsionado por publicação automatizada e payloads do tipo "confusão de dependências".
Abril/Junho
Expansão de código malicioso typosquatting e de inflação de versões com clones quase idênticos de pacotes legítimos.
Julho/Setembro
Menor volume, porém maior sofisticação, especialmente CI/CDmalware npm orientado e bibliotecas de representação no estilo de telemetria.
Outubro/Dezembro — Período de maior atividade
Grandes ondas coordenadas de:
- multi-versão pacotes maliciosos
- famílias de malware com temas de ferramentas e analisadores sintáticos
- bombeamento automatizado em larga escala
- recorrente clusters de malware npm
Principais tendências de ameaças observadas em 2025
Publicação automatizada de múltiplas versões
Ao longo de 2025, os atacantes dependeram fortemente de métodos automatizados. pipelines que geraram dezenas de sequenciais versões de pacotes maliciosos com apenas alterações mínimas em suas cargas úteis. Como resultado, grandes clusters multiversão se tornaram um dos padrões de comportamento mais consistentes do ano. Famílias maliciosas notáveis incluem let1x*, zero-ops, plugin-senna, vitor-js e @ikarem/telemetria.
Na prática, essa estratégia serviu a três objetivos claros:
Primeiro, para evitar a detecção heurística ou baseada em padrões;
Em segundo lugar, inflar artificialmente a credibilidade do pacote através de lançamentos repetidos de versões;
E, por fim, sobrecarregar os defensores e reduzir a eficácia dos processos de revisão manual.
Falsificação de identidade interna e Enterprise Ferramentas.
Além disso, muitos pacotes maliciosos imitaram deliberadamente SDKs privados, ferramentas de administração, bibliotecas de telemetria e CI/CD extensões. Como esses nomes pareciam legítimos e familiares, eles se misturaram facilmente em enterprise ambientes e fluxos de trabalho de desenvolvedores.
Exemplos representativos incluem SDK interno privado, baas-admin-sdk, caixa de ferramentas stitch-ui e paypal-scripts-server-utilsConsequentemente, essa tendência confirma uma clara mudança estratégica: os atacantes visam cada vez mais comprometer a segurança. ambientes de desenvolvimento e automação, em vez de visar diretamente os usuários finais.
Inflação de versões como tática de evasão
Além disso, em vários famílias de malware npm, os atacantes abusaram repetidamente técnicas de inflação de versõesIsso incluía números de lançamento exagerados, como 99,x ou 9999,x, sequências rápidas de patches incrementais e convenções de versionamento falsas de "lançamento interno". Em essência, o objetivo era contornar modelos de confiança baseados em reputação que dependem da maturidade, da idade ou do histórico de publicações.
Implicações para as equipes de segurança e engenharia
Em conjunto, esses comportamentos demonstram uma mudança estrutural no risco da cadeia de suprimentos ao longo de 2025. Os ataques agora são persistente, automatizado e operacionalizadoO que significa que as proteções tradicionais de registro já não são suficientes por si só. Além disso, os pacotes maliciosos visam cada vez mais... CI/CD fluxos de trabalho, ambientes de compilação e ferramentas de desenvolvimento, em vez de camadas de tempo de execução do aplicativo.
Portanto, uma defesa eficaz requer uma combinação de monitoramento contínuo, detecção orientada por comportamento e pontuação de risco sensível ao contextoDa mesma forma, os fluxos de trabalho de correção devem ser incorporados diretamente ao desenvolvimento. pipelinepara que as ameaças sejam detectadas e contidas antes que se propaguem pelos ambientes.
Como detectamos código malicioso em malware npm e malware PyPI
A Xygeni utiliza técnicas multicamadas para bloquear códigos maliciosos antes que eles se espalhem. Primeiramente, a análise estática de código detecta padrões de ofuscação, payloads ocultos e abuso de scripts. Além disso, a análise de sandbox comportamental instala hooks, comandos de tempo de execução e truques de persistência. Além disso, a detecção por aprendizado de máquina identifica malware npm de dia zero e variantes de malware pypi não detectadas pelos scanners de assinatura. Por fim, o Sistema de Alerta Precoce monitora repositórios públicos em tempo real, valida as descobertas e alerta as equipes de DevOps imediatamente.
Como resultado, essa combinação garante que os desenvolvedores recebam inteligência rápida e acionável integrada diretamente em CI/CD workflows.
Por que os desenvolvedores devem se preocupar com pacotes npm maliciosos
Ameaças modernas raramente aguardam execução. Por exemplo, pacotes npm maliciosos costumam ser executados durante a instalação, enquanto pacotes pypi maliciosos ocultam exfiltração de tokens ou backdoors. Atacantes:
- Transforme repositórios privados do GitHub em públicos para replicá-los.
- Exfiltre credenciais e segredos usando cargas úteis codificadas.
- Use carregadores JavaScript ofuscados para implantar ransomware ou botnets.
De fato, os pacotes maliciosos de código aberto aumentaram 156% em um ano. Portanto, equipes que dependem apenas de feeds atrasados ou scanners básicos ficam para trás.
O que este relatório de malware rastreia no npm e no PyPI
Este resumo é o centro central para:
- Pacotes npm maliciosos confirmados
- Pacotes maliciosos pypi confirmados
- Detecções de código malicioso baseadas em comportamento
- Incidentes confirmados pelo registro
- Resumos de relatórios semanais e mensais de malware
- Registro de alterações histórico de todas as descobertas de malware npm e malware pypi
Em outras palavras, ele fornece um único ponto de referência. A equipe de pesquisa da Xygeni atualiza esta página semanalmente com links para análises técnicas completas e IOCs do GitHub.
Como se proteger contra pacotes npm maliciosos e malware PyPI
Devido a esse risco crescente, as organizações precisam de mais do que verificações básicas de dependência. Defesas robustas contra pacotes npm e pypi maliciosos exigem controles preventivos e execução em tempo de execução:
Aplicar instalações somente de Lockfile contra pacotes npm maliciosos
Uso npm ci or pip install --require-hashes in CI/CD.
Isso garante que a árvore de dependências exata definida nos lockfiles seja usada. Como resultado, invasores não conseguem inserir versões modificadas ou com erros de digitação de pacotes npm maliciosos.
Verificação de pré-instalação para malware npm e malware PyPI
Integre o Early Warning Engine do Xygeni para escanear malware npm e malware pypi antes que os pacotes cheguem ao seu ambiente.
Além disso, detecte suspeitos postinstall scripts, carregadores ofuscados ou URLs C2 codificadas.
Guardrails para bloquear compilações com código malicioso
Conjunto guardrails para falhar compilações automaticamente se pacotes npm maliciosos confirmados ou pacotes pypi maliciosos forem detectados.
Por exemplo, quebre compilações em pacotes com mantenedores não publicados, padrões de ofuscação ou correspondências de IOC. Consequentemente, códigos maliciosos nunca passam despercebidos.
Gerar e Validar SBOMs Contra pacotes npm maliciosos e malware PyPI
Criar SBOMs (CycloneDX, SPDX) para cada compilação.
Depois, compare com pacotes npm maliciosos conhecidos e feeds de malware pypi para rastrear dependências diretas e transitivas.
Proteção de credenciais e tokens contra malware npm e malware PyPI
Muitos pacotes npm maliciosos tentam ler .npmrc, .pypirc, ou variáveis de ambiente.
Portanto, execute compilações em contêineres reforçados com o mínimo de segredos expostos. Além disso, use gerenciadores de segredos em vez de variáveis de ambiente para bloquear o uso indevido de código malicioso.
Monitore alterações de registro e mantenedor em pacotes npm maliciosos
Os invasores geralmente sequestram projetos abandonados.
Em particular, fique atento a trocas repentinas de mantenedores, saltos incomuns de versões ou publicações excessivas em pacotes maliciosos npm e pypi.
Treinamento para desenvolvedores sobre detecção de código malicioso em npm e PyPI
Ensine as equipes a identificar sinais de alerta, como:
- Nomes de pacotes com erros de digitação (
reqeustem vez derequest). - Incomum
installorpreparescripts. - Pacotes criados recentemente com números de versão suspeitosamente altos.
Acima de tudo, essa conscientização ajuda a detectar códigos maliciosos precocemente.
Detecção de anomalias em tempo de execução para pacotes npm maliciosos e malware PyPI
Mesmo que o malware ignore as verificações estáticas, a detecção em tempo de execução em CI/CD pode pegar:
- Conexões de rede inesperadas.
- Modificações no sistema de arquivos fora dos diretórios esperados.
- Tentativas de persistência entre tarefas.
Por fim, isso garante que as ameaças de malware npm e pypi sejam interrompidas mesmo após a instalação.
Ao combinar esses controles, as equipes impedem que pacotes npm maliciosos e pacotes pypi maliciosos cheguem à produção. pipelines.
Experimente as ferramentas de detecção de malware da Xygeni
A Xygeni oferece:
- Detecção em tempo real de códigos maliciosos, incluindo backdoors, spyware e ransomware.
- Em contraste com scanners básicos, análises em npm, PyPI, Maven, NuGet, RubyGems e muito mais.
- Bloqueio automático de compilação quando o relatório de malware identifica risco.
- Insights de explorabilidade, verificações de reputação do mantenedor e detecção de anomalias.
Fique informado
Nossa equipe atualiza esta página semanalmente. Para receber alertas e relatórios detalhados:
- Assine nossa Newsletter
- Siga-nos @XygeniSecurity no Linkedin
- Adicione esta página aos favoritos para acompanhar as últimas novidades malware npm e malware pypi ameaças
