Вредоносное ПО Npm сегодня продолжает развиваться, и злоумышленники публикуют новые материалы. вредоносный код, вредоносные пакеты npm и Вредоносные пакеты PyPI разработан для оптимизации рабочих процессов разработки. CI/CD pipelinesа также экосистемы с открытым исходным кодом. Обзор вредоносного кода Это текущий исследовательский отчет компании Xygeni, который отслеживает и проверяет наличие реальных вредоносных пакетов. НПМ, PyPI, Код VS и OpenVSXвключая подтвержденные бэкдоры, программы для кражи данных, полезные нагрузки для утечки учетных данных и автоматизированные многоверсионные кампании вредоносного ПО.
Наша исследовательская группа регулярно обновляет эту страницу. подтвержденные результаты, индикаторы компромисса (МОК), поведенческие паттерны и техническом анализеВ результате разработчики, команды AppSecа инженеры по безопасности могут быть на шаг впереди npm вредоносное ПО сегодня а также появление вредоносных программных пакетов, влияющих на современные цепочки поставок программного обеспечения.
NPM Malware Today: Еженедельный обзор 24–29 апреля 2026 г.
Исследователи подтвердили 97 XNUMX вредоносных пакетов в государственных реестрах в течение этого периода.
Наблюдения из набора данных
- Большинство подтвержденных пакетов были опубликованы в НПМ
- Дополнительные случаи затронуты PyPI, OpenVSX и Композитор
- Повторная публикация вредоносных файлов в рамках одних и тех же семейств пакетов и с похожими названиями.
- Шаблоны версий с высокой или нетипичной версионной ... 99.x, 99.9.x и 1.0.x
- Активное использование оплата и оформление заказа, enterpriseСтиль, внутреннее веб-приложение, аналитика, основа пользовательского интерфейса, инструмент разработчика, облачная тематика и компонент-связанный шаблоны именования
- Множественные скоординированные всплески обновлений версий, призванные имитировать легитимные обновления пакетов.
Посмотреть полный еженедельный отчет о вредоносных программах →
Ежемесячный отчет о вредоносном ПО: подтверждены вредоносные пакеты npm в апреле 2026 года.
Добро пожаловать в последний выпуск журнала Сборник вредоносных кодов Xygeni (ежемесячное издание). В апреля 2026наша исследовательская группа подтвердила это. более 250 вредоносных пакетовв основном по всей территории НПМс дополнительными случаями, затрагивающими PyPI, VS Code, OpenVSX и Composer.
В апреле дело касалось не только объёма продаж. Наряду с этим волны издательской деятельности, обусловленные автоматизацией, агрессивные кампании по завышению версий, кластеризация семейств пакетов и имитация внутреннего инструментаВ ходе исследования мы выявили некоторые из наиболее заметных закономерностей скоординированной вредоносной публикации за этот месяц в следующих областях:
Поддельные внутренние инструменты, пакеты, оформленные в стиле ИИ, модули оплаты и оформления заказа, аналитические клиенты, компоненты для фронтенда, утилиты для разработчиков, инструменты Kubernetes и облачных вычислений, расширения VS Code и OpenVSX, а также названия пакетов, похожие на названия известных брендов, призванные органично вписаться в реальную систему разработки программного обеспечения. pipelines.
Это были не просто случаи тайпсквоттинга. В более широком контексте апрель набор данных, мы наблюдали схемы злоупотребления учетными данными, манипулирование цепочкой поставок, повторное использование пространства имен и скоординированная вредоносная публикация разработан для интеграции в реальные среды разработки и процесса создания программного обеспечения. pipelines.
В рамках всего массива данных мы продолжали наблюдать скриптовая многоверсионная публикация, завышенные схемы версионирования, платежные и enterpriseтематическое именование, Названия пакетов, связанные с искусственным интеллектом и агентными технологиями., Имитация SDK и компонентов фронтенда, имитация внутренних инструментови классические тактики, такие как путаница с зависимостями и эксфильтрация данных.
Этот отчет является частью нашей текущей работы. Обзор вредоносного кодагде мы подтверждаем наличие новых угроз и предоставляем действенный интеллект , чтобы помочь Команды DevSecOps оставайтесь впереди риск цепочки поставок программного обеспечения.
| Экосистема | Упаковка | Время |
|---|---|---|
| НПМ | pa-marked:99.1.10 | 27 Апрель, 2026 |
| Pypi | moonbit-locale-compat:0.2.3 | 27 Апрель, 2026 |
| НПМ | @alfa.life.mapp/app.web:99.0.13 | 27 Апрель, 2026 |
| НПМ | @sbt_gitverse/analytics-client:99.0.1 | 27 Апрель, 2026 |
| НПМ | @frengki0707/google-cloud-clone:1.33.1 | 27 Апрель, 2026 |
| НПМ | @alfa.life.mapp/app.web:99.0.14 | 27 Апрель, 2026 |
| НПМ | @tochka-ui/foundation:99.0.2 | 27 Апрель, 2026 |
| openvsx | arcane-spark/ubel:0.1.0 | 28 Апрель, 2026 |
| НПМ | @2011-08-19/n:99.9.9 | 28 Апрель, 2026 |
| НПМ | @frengki0707/google-cloud-clone:1.38.0 | 27 Апрель, 2026 |
Как мы обнаруживаем вредоносный код в вредоносных программах npm и PyPI
Xygeni использует многоуровневые методы для блокировки вредоносного кода до его распространения. Статический анализ кода выявляет шаблоны обфускации, скрытые полезные нагрузки и злоупотребления скриптами. Кроме того, поведенческая песочница анализирует установку hooks, команды времени выполнения и трюки с сохранением. Более того, машинное обучение выявляет вредоносные программы нулевого дня npm и варианты pypi, пропущенные сканерами сигнатур. Наконец, система раннего оповещения отслеживает общедоступные репозитории в режиме реального времени, проверяет результаты и немедленно оповещает команды DevOps.
В результате эта комбинация гарантирует разработчикам быструю и действенную информацию, интегрированную непосредственно в CI/CD рабочих процессов.
Почему разработчикам следует опасаться вредоносных пакетов npm
Современные угрозы редко дожидаются выполнения. Например, вредоносные пакеты npm часто выполняются во время установки, а вредоносные пакеты pypi скрывают утечку токенов или бэкдоры. Злоумышленники:
- Перенесите приватные репозитории GitHub в публичные, чтобы реплицировать их.
- Извлеките учетные данные и секреты, используя зашифрованные данные.
- Используйте запутанные загрузчики JavaScript для развертывания программ-вымогателей или ботнетов.
Фактически, количество вредоносных пакетов с открытым исходным кодом выросло на 156% за год. Поэтому команды, которые полагаются только на отложенные обновления или базовые сканеры, отстают.
Что этот отчет о вредоносных программах отслеживает в npm и PyPI
Этот дайджест является центральным узлом для:
- Подтвержденные вредоносные пакеты npm
- Подтвержденные вредоносные пакеты pypi
- Обнаружение вредоносного кода на основе поведения
- Инциденты, подтвержденные реестром
- Еженедельные и ежемесячные отчеты о вредоносных программах
- История изменений всех обнаруженных вредоносных программ npm и pypi
Другими словами, он предоставляет единую точку отсчёта. Исследовательская группа Xygeni еженедельно обновляет эту страницу, добавляя ссылки на полный технический анализ и IOC на GitHub.
Как защититься от вредоносных пакетов npm и вредоносного ПО PyPI
В связи с этим растущим риском организациям необходимо больше, чем просто проверка зависимостей. Надежная защита от вредоносных пакетов npm и pypi требует как превентивного контроля, так и принудительного выполнения:
Обеспечить установку только Lockfile для вредоносных пакетов npm
Используйте npm ci or pip install --require-hashes in CI/CD.
Это гарантирует использование точного дерева зависимостей, определённого в файлах блокировки. В результате злоумышленники не смогут внедрить изменённые или тайпсквотированные версии вредоносных npm-пакетов.
Предварительное сканирование на наличие вредоносных программ npm и PyPI
Интегрируйте механизм раннего оповещения Xygeni для сканирования вредоносных программ npm и pypi до того, как пакеты попадут в вашу среду.
Кроме того, обнаруживайте подозрительные postinstall скрипты, запутанные загрузчики или жестко закодированные URL-адреса C2.
Guardrails для блокировки сборок с вредоносным кодом
Поставьте guardrails для автоматического завершения сборки при обнаружении подтвержденных вредоносных пакетов npm или pypi.
Например, прерывайте сборки пакетов с неопубликованными мейнтейнерами, шаблонами обфускации или совпадениями IOC. Следовательно, вредоносный код никогда не останется незамеченным.
Сгенерировать и проверить SBOMs Против вредоносных пакетов npm и вредоносного ПО PyPI
Создавай SBOMs (CycloneDX, SPDX) для каждой сборки.
После этого сравните с известными вредоносными пакетами npm и каналами вредоносных программ pypi, чтобы отслеживать как прямые, так и транзитивные зависимости.
Защита учетных данных и токенов от вредоносных программ npm и PyPI
Многие вредоносные пакеты npm пытаются читать .npmrc, .pypircили переменные среды.
Поэтому запускайте сборки в защищённых контейнерах с минимальным раскрытием секретов. Кроме того, используйте менеджеры секретов вместо переменных окружения, чтобы предотвратить злоупотребление вредоносным кодом.
Мониторинг реестра и изменений в обслуживании вредоносных пакетов npm
Злоумышленники часто захватывают заброшенные проекты.
В частности, следите за внезапной сменой сопровождающих, необычными скачками версий или чрезмерными публикациями вредоносных пакетов npm и pypi.
Обучение разработчиков по обнаружению вредоносного кода в npm и PyPI
Научите команды замечать тревожные сигналы, такие как:
- Названия пакетов с опечатками (
reqeustвместоrequest). - Необычно
installorprepareскриптов. - Недавно созданные пакеты с подозрительно высокими номерами версий.
Прежде всего, такая осведомленность помогает своевременно обнаруживать вредоносный код.
Обнаружение аномалий во время выполнения для вредоносных пакетов npm и вредоносного ПО PyPI
Даже если вредоносное ПО обходит статические проверки, обнаружение во время выполнения CI/CD можно поймать:
- Неожиданные сетевые подключения.
- Изменения файловой системы за пределами ожидаемых каталогов.
- Попытки сохранения настойчивости на разных работах.
Наконец, это гарантирует, что угрозы вредоносного ПО npm и pypi будут остановлены даже после установки.
Объединяя эти элементы управления, команды предотвращают попадание вредоносных пакетов npm и pypi в производство. pipelines.
Попробуйте инструменты обнаружения вредоносных программ от Xygeni
Xygeni обеспечивает:
- Обнаружение вредоносного кода в режиме реального времени, включая бэкдоры, шпионское ПО и программы-вымогатели.
- В отличие от базовых сканеров, анализ через npm, PyPI, Maven, NuGet, RubyGems и др.
- Автоматическая блокировка сборки, если отчет о вредоносном ПО выявляет риск.
- Анализ возможностей эксплуатации, проверка репутации обслуживающей организации и обнаружение аномалий.
В курсе
Наша команда обновляет эту страницу каждую неделю. Чтобы получать оповещения и подробные отчёты:
- Подпишитесь на нашу НОВОСТИ
- Подписаться @XygeniSecurity на Linkedin
- Добавьте эту страницу в закладки, чтобы следить за последними новостями вредоносное ПО npm и вредоносное ПО pypi угрозы
