Вредоносное ПО Npm сегодня продолжает развиваться, и злоумышленники публикуют новые материалы. вредоносный код, вредоносные пакеты npm и Вредоносные пакеты PyPI разработан для оптимизации рабочих процессов разработки. CI/CD pipelinesа также экосистемы с открытым исходным кодом. Обзор вредоносного кода Это текущий исследовательский отчет компании Xygeni, который отслеживает и проверяет наличие реальных вредоносных пакетов. НПМ, PyPI, Код VS и OpenVSXвключая подтвержденные бэкдоры, программы для кражи данных, полезные нагрузки для утечки учетных данных и автоматизированные многоверсионные кампании вредоносного ПО.
Наша исследовательская группа регулярно обновляет эту страницу. подтвержденные результаты, индикаторы компромисса (МОК), поведенческие паттерны и техническом анализеВ результате разработчики, команды AppSecа инженеры по безопасности могут быть на шаг впереди npm вредоносное ПО сегодня а также появление вредоносных программных пакетов, влияющих на современные цепочки поставок программного обеспечения.
NPM Malware Today: Еженедельный обзор 24–29 апреля 2026 г.
Исследователи подтвердили 97 XNUMX вредоносных пакетов в государственных реестрах в течение этого периода.
Наблюдения из набора данных
- Большинство подтвержденных пакетов были опубликованы в НПМ
- Дополнительные случаи затронуты PyPI, OpenVSX и Композитор
- Повторная публикация вредоносных файлов в рамках одних и тех же семейств пакетов и с похожими названиями.
- Шаблоны версий с высокой или нетипичной версионной ... 99.x, 99.9.x и 1.0.x
- Активное использование payment and checkout, enterpriseСтиль, internal web app, аналитика, UI foundation, инструмент разработчика, cloud-themed и component-related шаблоны именования
- Множественные скоординированные всплески обновлений версий, призванные имитировать легитимные обновления пакетов.
Посмотреть полный еженедельный отчет о вредоносных программах →
Monthly Malware Report: Confirmed Malicious npm Packages in April 2026
Добро пожаловать в последний выпуск журнала Сборник вредоносных кодов Xygeni (ежемесячное издание). В апреля 2026наша исследовательская группа подтвердила это. более 250 вредоносных пакетовв основном по всей территории НПМс дополнительными случаями, затрагивающими PyPI, VS Code, OpenVSX, and Composer.
April was not only about volume. Alongside волны издательской деятельности, обусловленные автоматизацией, агрессивные кампании по завышению версий, кластеризация семейств пакетов и имитация внутреннего инструмента, we observed some of the month’s most notable patterns in coordinated malicious publishing across:
fake internal tooling, AI-themed packages, payment and checkout modules, analytics clients, frontend components, developer utilities, Kubernetes and cloud tooling, VS Code and OpenVSX extensions, and trusted brand-like package names designed to blend into real software delivery pipelines.
These were not simple typosquatting incidents. Across the broader апрель dataset, we observed схемы злоупотребления учетными данными, манипулирование цепочкой поставок, повторное использование пространства имен и coordinated malicious publishing designed to blend into real developer environments and software delivery pipelines.
В рамках всего массива данных мы продолжали наблюдать скриптовая многоверсионная публикация, завышенные схемы версионирования, payment- and enterprise-themed naming, AI- and agentic-themed package names, Имитация SDK и компонентов фронтенда, internal-tool mimicryи классические тактики, такие как путаница с зависимостями и эксфильтрация данных.
Этот отчет является частью нашей текущей работы. Обзор вредоносного кодагде мы подтверждаем наличие новых угроз и предоставляем действенный интеллект , чтобы помочь Команды DevSecOps оставайтесь впереди риск цепочки поставок программного обеспечения.
| Экосистема | Упаковка | Время |
|---|---|---|
| НПМ | pa-marked:99.1.10 | 27 Апрель, 2026 |
| Pypi | moonbit-locale-compat:0.2.3 | 27 Апрель, 2026 |
| НПМ | @alfa.life.mapp/app.web:99.0.13 | 27 Апрель, 2026 |
| НПМ | @sbt_gitverse/analytics-client:99.0.1 | 27 Апрель, 2026 |
| НПМ | @frengki0707/google-cloud-clone:1.33.1 | 27 Апрель, 2026 |
| НПМ | @alfa.life.mapp/app.web:99.0.14 | 27 Апрель, 2026 |
| НПМ | @tochka-ui/foundation:99.0.2 | 27 Апрель, 2026 |
| openvsx | arcane-spark/ubel:0.1.0 | 28 Апрель, 2026 |
| НПМ | @2011-08-19/n:99.9.9 | 28 Апрель, 2026 |
| НПМ | @frengki0707/google-cloud-clone:1.38.0 | 27 Апрель, 2026 |
Как мы обнаруживаем вредоносный код в вредоносных программах npm и PyPI
Xygeni использует многоуровневые методы для блокировки вредоносного кода до его распространения. Статический анализ кода выявляет шаблоны обфускации, скрытые полезные нагрузки и злоупотребления скриптами. Кроме того, поведенческая песочница анализирует установку hooks, команды времени выполнения и трюки с сохранением. Более того, машинное обучение выявляет вредоносные программы нулевого дня npm и варианты pypi, пропущенные сканерами сигнатур. Наконец, система раннего оповещения отслеживает общедоступные репозитории в режиме реального времени, проверяет результаты и немедленно оповещает команды DevOps.
В результате эта комбинация гарантирует разработчикам быструю и действенную информацию, интегрированную непосредственно в CI/CD рабочих процессов.
Почему разработчикам следует опасаться вредоносных пакетов npm
Современные угрозы редко дожидаются выполнения. Например, вредоносные пакеты npm часто выполняются во время установки, а вредоносные пакеты pypi скрывают утечку токенов или бэкдоры. Злоумышленники:
- Перенесите приватные репозитории GitHub в публичные, чтобы реплицировать их.
- Извлеките учетные данные и секреты, используя зашифрованные данные.
- Используйте запутанные загрузчики JavaScript для развертывания программ-вымогателей или ботнетов.
Фактически, количество вредоносных пакетов с открытым исходным кодом выросло на 156% за год. Поэтому команды, которые полагаются только на отложенные обновления или базовые сканеры, отстают.
Что этот отчет о вредоносных программах отслеживает в npm и PyPI
Этот дайджест является центральным узлом для:
- Подтвержденные вредоносные пакеты npm
- Подтвержденные вредоносные пакеты pypi
- Обнаружение вредоносного кода на основе поведения
- Инциденты, подтвержденные реестром
- Еженедельные и ежемесячные отчеты о вредоносных программах
- История изменений всех обнаруженных вредоносных программ npm и pypi
Другими словами, он предоставляет единую точку отсчёта. Исследовательская группа Xygeni еженедельно обновляет эту страницу, добавляя ссылки на полный технический анализ и IOC на GitHub.
Как защититься от вредоносных пакетов npm и вредоносного ПО PyPI
В связи с этим растущим риском организациям необходимо больше, чем просто проверка зависимостей. Надежная защита от вредоносных пакетов npm и pypi требует как превентивного контроля, так и принудительного выполнения:
Обеспечить установку только Lockfile для вредоносных пакетов npm
Используйте npm ci or pip install --require-hashes in CI/CD.
Это гарантирует использование точного дерева зависимостей, определённого в файлах блокировки. В результате злоумышленники не смогут внедрить изменённые или тайпсквотированные версии вредоносных npm-пакетов.
Предварительное сканирование на наличие вредоносных программ npm и PyPI
Интегрируйте механизм раннего оповещения Xygeni для сканирования вредоносных программ npm и pypi до того, как пакеты попадут в вашу среду.
Кроме того, обнаруживайте подозрительные postinstall скрипты, запутанные загрузчики или жестко закодированные URL-адреса C2.
Guardrails для блокировки сборок с вредоносным кодом
Поставьте guardrails для автоматического завершения сборки при обнаружении подтвержденных вредоносных пакетов npm или pypi.
Например, прерывайте сборки пакетов с неопубликованными мейнтейнерами, шаблонами обфускации или совпадениями IOC. Следовательно, вредоносный код никогда не останется незамеченным.
Сгенерировать и проверить SBOMs Против вредоносных пакетов npm и вредоносного ПО PyPI
Создавай SBOMs (CycloneDX, SPDX) для каждой сборки.
После этого сравните с известными вредоносными пакетами npm и каналами вредоносных программ pypi, чтобы отслеживать как прямые, так и транзитивные зависимости.
Защита учетных данных и токенов от вредоносных программ npm и PyPI
Многие вредоносные пакеты npm пытаются читать .npmrc, .pypircили переменные среды.
Поэтому запускайте сборки в защищённых контейнерах с минимальным раскрытием секретов. Кроме того, используйте менеджеры секретов вместо переменных окружения, чтобы предотвратить злоупотребление вредоносным кодом.
Мониторинг реестра и изменений в обслуживании вредоносных пакетов npm
Злоумышленники часто захватывают заброшенные проекты.
В частности, следите за внезапной сменой сопровождающих, необычными скачками версий или чрезмерными публикациями вредоносных пакетов npm и pypi.
Обучение разработчиков по обнаружению вредоносного кода в npm и PyPI
Научите команды замечать тревожные сигналы, такие как:
- Названия пакетов с опечатками (
reqeustвместоrequest). - Необычно
installorprepareскриптов. - Недавно созданные пакеты с подозрительно высокими номерами версий.
Прежде всего, такая осведомленность помогает своевременно обнаруживать вредоносный код.
Обнаружение аномалий во время выполнения для вредоносных пакетов npm и вредоносного ПО PyPI
Даже если вредоносное ПО обходит статические проверки, обнаружение во время выполнения CI/CD можно поймать:
- Неожиданные сетевые подключения.
- Изменения файловой системы за пределами ожидаемых каталогов.
- Попытки сохранения настойчивости на разных работах.
Наконец, это гарантирует, что угрозы вредоносного ПО npm и pypi будут остановлены даже после установки.
Объединяя эти элементы управления, команды предотвращают попадание вредоносных пакетов npm и pypi в производство. pipelines.
Попробуйте инструменты обнаружения вредоносных программ от Xygeni
Xygeni обеспечивает:
- Обнаружение вредоносного кода в режиме реального времени, включая бэкдоры, шпионское ПО и программы-вымогатели.
- В отличие от базовых сканеров, анализ через npm, PyPI, Maven, NuGet, RubyGems и др.
- Автоматическая блокировка сборки, если отчет о вредоносном ПО выявляет риск.
- Анализ возможностей эксплуатации, проверка репутации обслуживающей организации и обнаружение аномалий.
В курсе
Наша команда обновляет эту страницу каждую неделю. Чтобы получать оповещения и подробные отчёты:
- Подпишитесь на нашу НОВОСТИ
- Подписаться @XygeniSecurity на Linkedin
- Добавьте эту страницу в закладки, чтобы следить за последними новостями вредоносное ПО npm и вредоносное ПО pypi угрозы
