Toda semanaNossos sistemas de detecção de malware examinam milhares de pacotes novos e atualizados em registros públicos como npm e PyPI.
Esta semana foi particularmente agitada.
Confirmamos 93 pacotes maliciosos, principalmente em npm, com casos adicionais em PyPI, OpenVSX e ComporVários surgiram em grupos coordenados, com lançamentos maliciosos repetidos publicados sob os mesmos nomes ou em famílias de pacotes intimamente relacionadas. Muitos imitavam módulos de pagamento e finalização de compra, enterprise e pacotes web internos, clientes de análise, Fundamentos de interface do usuário, utilitários para desenvolvedores, exploradores de componentes, pacotes com temas de nuvem e Googlee outros módulos comumente utilizados em fluxos de trabalho de desenvolvimento modernos.
Esses não foram casos isolados. O que chamou a atenção esta semana foi a escala de publicações repetidas nas mesmas famílias de pacotes, a reutilização de padrões de nomenclatura e a forma como pacotes maliciosos foram disfarçados para parecerem dependências legítimas em sistemas de distribuição de software reais. pipelines.
Este instantâneo semanal faz parte do nosso contínuo Resumo de código malicioso, onde validamos novas ameaças e fornecemos informações práticas para ajudar Equipes DevSecOps proteger seus pipelineantes que ocorram danos.
Vamos analisar o que descobrimos esta semana e por que isso é importante.
| Ecossistema | Pacote | Data |
|---|---|---|
| npm | pa-marcado: 99.1.10 | 27 de abril, 2026 |
| pypi | moonbit-locale-compat:0.2.3 | 27 de abril, 2026 |
| npm | @alfa.life.mapp/app.web:99.0.13 | 27 de abril, 2026 |
| npm | @sbt_gitverse/analytics-client:99.0.1 | 27 de abril, 2026 |
| npm | @frengki0707/google-cloud-clone:1.33.1 | 27 de abril, 2026 |
| npm | @alfa.life.mapp/app.web:99.0.14 | 27 de abril, 2026 |
| npm | @tochka-ui/foundation:99.0.2 | 27 de abril, 2026 |
| openvsx | arcane-spark/ubel:0.1.0 | 28 de abril, 2026 |
| npm | @2011-08-19/n:99.9.9 | 28 de abril, 2026 |
| npm | @frengki0707/google-cloud-clone:1.38.0 | 27 de abril, 2026 |
| npm | @frengki0707/google-cloud-clone:1.38.1 | 27 de abril, 2026 |
| npm | @frengki0707/google-cloud-clone:1.39.0 | 27 de abril, 2026 |
| npm | @frengki0707/google-cloud-clone:1.43.0 | 27 de abril, 2026 |
| npm | @frengki0707/google-cloud-clone:1.44.0 | 27 de abril, 2026 |
| npm | google-logging-utils-internal:9.9.9 | 27 de abril, 2026 |
| npm | google-logging-utils-internal:1.1.4 | 27 de abril, 2026 |
| npm | @combinezone/tema:99.9.10 | 28 de abril, 2026 |
| npm | maninos:1.3.0 | 28 de abril, 2026 |
| npm | @inheritdoc/n:99.9.9 | 28 de abril, 2026 |
| npm | @mts-pay/web-sdk:99.9.9 | 28 de abril, 2026 |
| npm | @cashback/how-it-works-widget:99.9.9 | 28 de abril, 2026 |
| npm | @cashback/postal-premium: 99.9.9 | 28 de abril, 2026 |
| npm | @toprimitive/nif:99.9.9 | 28 de abril, 2026 |
| npm | @tostringtag/nsettostringtag:99.9.9 | 28 de abril, 2026 |
| npm | rtms-manager:1.4.0 | 28 de abril, 2026 |
| npm | vscode-component-explorer:99.9.15 | 28 de abril, 2026 |
| npm | js-component-explorer:99.9.16 | 27 de abril, 2026 |
| npm | js-component-explorer:99.9.17 | 27 de abril, 2026 |
| npm | @alfa.life.mapp/app.web:99.0.15 | 27 de abril, 2026 |
| npm | @tochka-ui/foundation:99.0.3 | 27 de abril, 2026 |
| npm | @alfa.life.mapp/app.web:99.0.16 | 27 de abril, 2026 |
| npm | @sbt_gitverse/analytics-client:99.0.4 | 27 de abril, 2026 |
| npm | @tochka-ui/foundation:99.0.4 | 27 de abril, 2026 |
| npm | kl-b2c-ui-kit:99.0.1 | 27 de abril, 2026 |
| compor | dot-env-it/laravel-core-helper:v1.0.0 | 28 de abril, 2026 |
| npm | uipath-ui-widgets:1.0.1 | 28 de abril, 2026 |
| npm | aplicativos independentes: 1.0.1 | 28 de abril, 2026 |
| npm | @tw-utils/static:99.0.1 | 27 de abril, 2026 |
| npm | @tw-models/storage:99.0.1 | 27 de abril, 2026 |
| npm | @tw-marionette/clipboard:99.0.1 | 27 de abril, 2026 |
| npm | @tw-marionette/input:99.0.1 | 27 de abril, 2026 |
| npm | pouso-pollo:1.0.1 | 28 de abril, 2026 |
| npm | process-app-task:1.0.1 | 28 de abril, 2026 |
| npm | apollo-vertex:1.0.1 | 28 de abril, 2026 |
| npm | @ozon-complt/split:99.0.1 | 27 de abril, 2026 |
| npm | @apple-pay-trust/destroy:99.0.1 | 27 de abril, 2026 |
| npm | @apple-pay-trust/merchant-session:99.0.1 | 27 de abril, 2026 |
| npm | @apple-pay-trust/start:99.0.1 | 27 de abril, 2026 |
| npm | @google-pay-trust/finish:99.0.1 | 27 de abril, 2026 |
| npm | @apple-pay-trust/finish:99.0.1 | 27 de abril, 2026 |
| npm | @apple-pay-trust/validate-merchant:99.0.1 | 27 de abril, 2026 |
| npm | @alfa.life.mapp/app.web:99.0.17 | 27 de abril, 2026 |
| npm | @zirutan/utils:1.0.2 | 27 de abril, 2026 |
| npm | @zirutan/utils:1.0.4 | 27 de abril, 2026 |
| npm | report-ng:1.0.2 | 27 de abril, 2026 |
| npm | kl-b2c-ui-kit:99.0.2 | 27 de abril, 2026 |
| npm | @apple-pay-trust/authorize-payment:99.0.2 | 27 de abril, 2026 |
| npm | @google-pay-trust/authorize-payment:99.0.2 | 27 de abril, 2026 |
| npm | @ozon-complt/antibot-handler:99.0.2 | 27 de abril, 2026 |
| npm | @sbt_gitverse/analytics-client:99.0.5 | 27 de abril, 2026 |
| npm | @tw-models/storage:99.0.2 | 27 de abril, 2026 |
| npm | frank-bot-gogle-cloning:1.1.0 | 27 de abril, 2026 |
| npm | frank-research-poc-apple:1.1.4 | 27 de abril, 2026 |
| npm | @google-pay-trust/init-google-pay-result:99.0.2 | 27 de abril, 2026 |
| npm | @google-pay-trust/start:99.0.2 | 27 de abril, 2026 |
| npm | @b2b_blocker/show_activation_error:99.0.2 | 27 de abril, 2026 |
| npm | @business_promocode/cancel_promocode:99.0.2 | 27 de abril, 2026 |
| npm | @business_promocode/apply_promocode:99.0.2 | 27 de abril, 2026 |
| npm | @b2b_blocker/hide_activation_error:99.0.2 | 27 de abril, 2026 |
| npm | apple-internal-pki-utils:1.0.1 | 27 de abril, 2026 |
| npm | apple-internal-pki-trust-v5:1.0.0 | 27 de abril, 2026 |
| npm | @taxmoninor/taxmon:99.0.6 | 28 de abril, 2026 |
| npm | @alfa.life.mapp/app.web:99.0.19 | 28 de abril, 2026 |
| npm | @apiary-annex/meta:99.0.4 | 28 de abril, 2026 |
| npm | @apple-pay-trust/cancelado:99.0.3 | 28 de abril, 2026 |
| npm | @apple-pay-trust/check-apple-pay:99.0.3 | 28 de abril, 2026 |
| npm | @apple-pay-trust/check-apple-pay:99.0.4 | 28 de abril, 2026 |
| npm | @apple-pay-trust/finish:99.0.3 | 28 de abril, 2026 |
| npm | @apple-pay-trust/merchant-session:99.0.4 | 28 de abril, 2026 |
| npm | @apple-pay-trust/merchant-session:99.0.3 | 28 de abril, 2026 |
| npm | @apple-pay-trust/finish:99.0.4 | 28 de abril, 2026 |
| npm | @apple-pay-trust/destroy:99.0.4 | 28 de abril, 2026 |
| npm | @apple-pay-trust/destroy:99.0.3 | 28 de abril, 2026 |
| npm | @pyme-web/web-api:99.0.4 | 28 de abril, 2026 |
| npm | @google-pay-trust/authorize-payment:99.0.4 | 28 de abril, 2026 |
| npm | @google-pay-trust/finish:99.0.3 | 28 de abril, 2026 |
| npm | @google-pay-trust/init-google-pay:99.0.4 | 28 de abril, 2026 |
| npm | @google-pay-trust/start:99.0.4 | 28 de abril, 2026 |
| npm | kl-b2c-ui-kit:99.0.3 | 28 de abril, 2026 |
| npm | @ozon-complt/antibot-handler:99.0.3 | 28 de abril, 2026 |
| npm | @ozon-complt/antibot-handler:99.0.4 | 28 de abril, 2026 |
| npm | @tw-models/storage:99.0.3 | 28 de abril, 2026 |
| npm | @w3m-app/is_connected:99.0.4 | 28 de abril, 2026 |
| npm | @w3m-frame/session_update:99.0.4 | 28 de abril, 2026 |
| npm | acesso-angular-cache-buster:99.9.0 | 29 de abril, 2026 |
| npm | acesso-angular-cache-buster:99.0.0 | 29 de abril, 2026 |
| npm | hpsetup:2.0.0 | 29 de abril, 2026 |
Proteja suas dependências de código aberto contra vulnerabilidades e códigos maliciosos
Minimize os riscos e proteja seus aplicativos de pacotes maliciosos com Detecção precoce de malware Xygeni. Priorize e trate das vulnerabilidades que mais importam. Nossa solução abrangente oferece monitoramento em tempo real de suas dependências para detectar e mitigar ameaças antes que elas afetem seu software.
O gerenciamento de componentes de código aberto no cenário atual de desenvolvimento de software é crucial devido às crescentes vulnerabilidades e ameaças de códigos maliciosos. Xygeni Open Source Security A solução verifica e bloqueia pacotes prejudiciais após a publicação, minimizando drasticamente o risco de malware e vulnerabilidades se infiltrarem em seus sistemas. Nosso monitoramento abrangente abrange vários registros públicos, garantindo que todas as dependências sejam examinadas quanto à segurança e integridade. O Xygeni aprimora a capacidade da sua equipe de manter projetos de software seguros e confiáveis, priorizando contextualmente problemas críticos e facilitando processos de correção simplificados.
A Xygeni utiliza técnicas multicamadas para bloquear códigos maliciosos antes que eles se espalhem. Primeiramente, a análise estática de código detecta padrões de ofuscação, payloads ocultos e abuso de scripts. Além disso, a análise de sandbox comportamental instala hooks, comandos de tempo de execução e truques de persistência. Além disso, a detecção por aprendizado de máquina identifica malware npm de dia zero e variantes de malware pypi não detectadas pelos scanners de assinatura. Por fim, o Sistema de Alerta Precoce monitora repositórios públicos em tempo real, valida as descobertas e alerta as equipes de DevOps imediatamente.
Como resultado, essa combinação garante que os desenvolvedores recebam inteligência rápida e acionável integrada diretamente em CI/CD workflows.
Por que os desenvolvedores devem se preocupar com pacotes npm maliciosos
Ameaças modernas raramente aguardam execução. Por exemplo, pacotes npm maliciosos costumam ser executados durante a instalação, enquanto pacotes pypi maliciosos ocultam exfiltração de tokens ou backdoors. Atacantes:
- Transforme repositórios privados do GitHub em públicos para replicá-los.
- Exfiltre credenciais e segredos usando cargas úteis codificadas.
- Use carregadores JavaScript ofuscados para implantar ransomware ou botnets.
De fato, os pacotes maliciosos de código aberto aumentaram 156% em um ano. Portanto, equipes que dependem apenas de feeds atrasados ou scanners básicos ficam para trás.
O que este relatório de malware rastreia no npm e no PyPI
Este resumo é o centro central para:
- Pacotes npm maliciosos confirmados
- Pacotes maliciosos pypi confirmados
- Detecções de código malicioso baseadas em comportamento
- Incidentes confirmados pelo registro
- Resumos de relatórios semanais e mensais de malware
- Registro de alterações histórico de todas as descobertas de malware npm e malware pypi
Em outras palavras, ele fornece um único ponto de referência. A equipe de pesquisa da Xygeni atualiza esta página semanalmente com links para análises técnicas completas e IOCs do GitHub.
Como se proteger contra pacotes npm maliciosos e malware PyPI
Devido a este risco crescente, as organizações precisam de defesas fortes:
- Aplicar instalações somente de arquivo de bloqueio (
npm ci) em CI/CD. - Além disso, verifique as dependências pré-instaladas com o Early Warning Engine do Xygeni.
- Além disso, o bloco se baseia em sinais de código malicioso usando Guardrails.
- Gerar SBOMs para rastrear dependências indiretas e aplicar políticas.
- Acima de tudo, treine os desenvolvedores para detectar erros de digitação, ofuscação e scripts de instalação suspeitos.
Experimente as ferramentas de detecção de malware da Xygeni
A Xygeni oferece:
- Detecção em tempo real de códigos maliciosos, incluindo backdoors, spyware e ransomware.
- Em contraste com os scanners básicos, a análise abrange todo o npm, PyPI, Maven, NuGet, gemas de rubiE muito mais.
- Bloqueio automático de compilação quando o relatório de malware identifica risco.
- Insights de explorabilidade, verificações de reputação do mantenedor e detecção de anomalias.
