Каждую неделю наши системы обнаружения вредоносных программ сканируют тысячи новых и обновлённых пакетов в публичных реестрах, таких как npm и PyPI. В этот раз мы подтвердили более 135 XNUMX вредоносных пакетов, начиная от тайпсквоттинга и кражи учетных данных и заканчивая скрытыми библиотеками, разработанными для обхода базовых сканеров.
Этот еженедельный обзор является частью нашего постоянного Обзор вредоносного кода, где мы публикуем текущие результаты, подтверждаем возникающие угрозы и помогаем командам DevSecOps защищать свои pipelines до того, как будет нанесен ущерб. Если вам нужна полная информация обо всех подтверждённых посылках и прошлых инцидентах, обязательно ознакомьтесь с полным дайджестом.
Давайте разберем, что мы обнаружили на этой неделе и почему это важно.
| Экосистема | Упаковка | Время |
|---|---|---|
| НПМ | mysqldbstool:1.0.4 | 09 февраля, 2026 |
| НПМ | @acqui-calm-library/acqui-hero-carousel-section:999.99.999 | 09 февраля, 2026 |
| НПМ | ringcentral-google-drive-notification-add-in:2.2.2 | 09 февраля, 2026 |
| НПМ | date-fns-2:1.0.0 | 09 февраля, 2026 |
| НПМ | redux-saga-task-cancel-rce:1.0.0 | 09 февраля, 2026 |
| НПМ | teeseest:1.6.2 | 09 февраля, 2026 |
| НПМ | internal-logger-embay:9.9.10 | 09 февраля, 2026 |
| НПМ | @xcxcxxx/gsap3:99.10.90 | 09 февраля, 2026 |
| НПМ | bdf-server-clone:1.0.0 | 09 февраля, 2026 |
| НПМ | react-native-kraken-oauth:1.0.1 | 09 февраля, 2026 |
| НПМ | mysqldbstool:1.0.5 | 09 февраля, 2026 |
| НПМ | mysqldbtool:1.0.3 | 09 февраля, 2026 |
| НПМ | meta-api-boostx-v2-pro:1.0.1-pro | 09 февраля, 2026 |
| НПМ | @web-ib/chevre:9000.0.0 | 09 февраля, 2026 |
| НПМ | @eqder/bird:14.0.0 | 09 февраля, 2026 |
| Pypi | не устанавливать:1.0 | 09 февраля, 2026 |
| НПМ | интерфейс-buenaspracticas:99.9.9 | 09 февраля, 2026 |
| НПМ | lbank-connector-nodejs:2.0.0 | 09 февраля, 2026 |
| НПМ | @spectraltest/loglevel:2.5.0 | 09 февраля, 2026 |
| НПМ | спектральный-призрак:1.0.0 | 09 февраля, 2026 |
| НПМ | супермой1:0.30.1 | 09 февраля, 2026 |
| НПМ | supervot5:0.30.1 | 09 февраля, 2026 |
| НПМ | finalmoyloyt:0.30.1 | 09 февраля, 2026 |
| НПМ | xmljs2bank:0.30.2 | 09 февраля, 2026 |
| НПМ | superbankbackdoor:1.0.0 | 09 февраля, 2026 |
| НПМ | superbankbackdoor:0.30.1 | 09 февраля, 2026 |
| НПМ | кэшлоггер:0.30.1 | 09 февраля, 2026 |
| НПМ | megadepsexploit:0.30.1 | 09 февраля, 2026 |
| НПМ | megaexploitvorkemol:0.30.1 | 09 февраля, 2026 |
| НПМ | megaexploitvorkemol1:0.30.1 | 09 февраля, 2026 |
| НПМ | @!not/ui:0.0.1 | 09 февраля, 2026 |
| НПМ | @jaspal.dhillon/corplib:999.0.0 | 09 февраля, 2026 |
| НПМ | corplib-internal:999.0.0 | 09 февраля, 2026 |
| НПМ | kkkarem:2.0.0 | 09 февраля, 2026 |
| НПМ | kkkaremn:1.0.0 | 09 февраля, 2026 |
| НПМ | karemz:1.0.0 | 09 февраля, 2026 |
| НПМ | karemz:2.0.0 | 09 февраля, 2026 |
| НПМ | karemzz:2.0.0 | 09 февраля, 2026 |
| НПМ | karemz:5.0.0 | 09 февраля, 2026 |
| НПМ | kkkaremn:7.0.0 | 09 февраля, 2026 |
| НПМ | kkkaremn:8.0.0 | 09 февраля, 2026 |
| НПМ | kkkaremnn:11.0.0 | 09 февраля, 2026 |
| НПМ | kkkaremnnn:1.0.0 | 09 февраля, 2026 |
| НПМ | karem4:1.0.0 | 09 февраля, 2026 |
| НПМ | karem3:1.0.0 | 09 февраля, 2026 |
| НПМ | karem3:2.0.0 | 09 февраля, 2026 |
| НПМ | karem5:1.0.0 | 09 февраля, 2026 |
| НПМ | karem7:1.0.0 | 09 февраля, 2026 |
| НПМ | karem8:1.0.0 | 09 февраля, 2026 |
| НПМ | karem9:1.0.0 | 09 февраля, 2026 |
| НПМ | karem10:1.0.0 | 09 февраля, 2026 |
| НПМ | karemm1:1.0.0 | 09 февраля, 2026 |
| НПМ | karem6:1.0.0 | 09 февраля, 2026 |
| НПМ | karem2:1.0.0 | 09 февраля, 2026 |
| НПМ | karemm3:1.0.0 | 09 февраля, 2026 |
| НПМ | karemm4:1.0.0 | 09 февраля, 2026 |
| НПМ | karemm6:1.0.0 | 09 февраля, 2026 |
| НПМ | karemm5:1.0.0 | 09 февраля, 2026 |
| НПМ | karemm7:1.0.0 | 09 февраля, 2026 |
| НПМ | karemm2:1.0.0 | 09 февраля, 2026 |
| НПМ | karem1:1.0.0 | 09 февраля, 2026 |
| НПМ | монопинг:1.0.6 | 09 февраля, 2026 |
| НПМ | монопинг:1.0.3 | 09 февраля, 2026 |
| НПМ | eslint-plugin-fuel-react:1.0.0 | 09 февраля, 2026 |
| НПМ | eslint-plugin-fuel-react:1.0.1 | 09 февраля, 2026 |
| НПМ | eslint-plugin-fuel-react:1.0.2 | 09 февраля, 2026 |
| НПМ | moltbot-termux:2026.1.27 | 09 февраля, 2026 |
| Pypi | iflow-mcp-dropbox-mcp-server-dash:0.1.0 | 09 февраля, 2026 |
| Pypi | iflow-mcp-dropbox-mcp-server-dash:0.1.1 | 09 февраля, 2026 |
| НПМ | moltbot-termux:2026.1.28-4 | 09 февраля, 2026 |
| Pypi | baguette-agent:0.1.0 | 09 февраля, 2026 |
| Pypi | cnhkmcp:2.3.1 | 09 февраля, 2026 |
| НПМ | @anthropic-field/cli:0.3.1 | 06 февраля, 2026 |
| НПМ | @anthropic-field/cli:0.2.0 | 06 февраля, 2026 |
| НПМ | @anthropic-field/cli:0.3.0 | 06 февраля, 2026 |
| НПМ | @anthropic-field/cli:0.2.1 | 06 февраля, 2026 |
| НПМ | @anthropic-field/cli:0.1.0 | 06 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.1.30-nightly.202602012355 | 06 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.2.1-zh.3 | 06 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.1.30-nightly.202602011756 | 06 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.1.30-nightly.202602012258 | 06 февраля, 2026 |
| НПМ | openclaw-cn:2026.1.31-beta.0 | 06 февраля, 2026 |
| НПМ | openclaw-cn:2026.1.31-beta.1 | 06 февраля, 2026 |
| НПМ | @mmarena/mcp:0.1.4 | 09 февраля, 2026 |
| НПМ | @mmarena/mcp:0.1.5 | 09 февраля, 2026 |
| НПМ | @mmarena/mcp:0.1.6 | 09 февраля, 2026 |
| НПМ | openclawapi:1.3.39 | 09 февраля, 2026 |
| НПМ | openclawapi:1.3.45 | 09 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.2.2-3-nightly.202602050319 | 09 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.2.2-3-nightly.202602050507 | 09 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.2.3-1-nightly.202602050927 | 09 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.2.3-1-nightly.202602070455 | 09 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.2.6-3-nightly.202602071329 | 09 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.2.6-3-nightly.202602071903 | 09 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.2.6-3-nightly.202602080725 | 09 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.2.6-3-nightly.202602081330 | 09 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.2.6-3-nightly.202602081403 | 09 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.2.6-3-nightly.202602091214 | 09 февраля, 2026 |
| НПМ | @qingchencloud/openclaw-zh:2026.2.9-nightly.202602101840 | 11 февраля, 2026 |
| НПМ | @commonschema/blackstone-core:0.2.2-alpha | 09 февраля, 2026 |
| НПМ | openclaw-pro:2026.2.35 | 09 февраля, 2026 |
| НПМ | openclaw-pro:2026.2.43 | 09 февраля, 2026 |
| НПМ | openclaw-pro:2026.2.47 | 09 февраля, 2026 |
| НПМ | openclaw-pro:2026.2.7 | 09 февраля, 2026 |
| НПМ | openclaw-pro:2026.2.7-1 | 09 февраля, 2026 |
| НПМ | openclaw-pro:2026.2.9 | 09 февраля, 2026 |
| НПМ | openclaw-pro:2026.2.96 | 09 февраля, 2026 |
| НПМ | cryptoclaw:1.0.3 | 09 февраля, 2026 |
| НПМ | @aruna-yoocrm/agiagent:2026.1.38 | 09 февраля, 2026 |
| НПМ | agiagent-dev:2026.1.41 | 09 февраля, 2026 |
| НПМ | openclaw-cn:0.1.4 | 09 февраля, 2026 |
| НПМ | selfbot-lofy:1.0.2 | 09 февраля, 2026 |
| НПМ | selfbot-lofy:1.0.3 | 09 февраля, 2026 |
| НПМ | selfbot-lofy:1.0.4 | 09 февраля, 2026 |
| НПМ | selfbot-lofy:1.0.5 | 09 февраля, 2026 |
| НПМ | selfbot-lofy:1.0.6 | 09 февраля, 2026 |
| НПМ | selfbot-lofy:1.0.7 | 09 февраля, 2026 |
| НПМ | selfbot-lofy:1.0.8 | 09 февраля, 2026 |
| НПМ | selfbot-lofy:1.0.9 | 09 февраля, 2026 |
| НПМ | selfbot-lofy:1.2.0 | 09 февраля, 2026 |
| НПМ | selfbot-lofy:1.2.1 | 09 февраля, 2026 |
| НПМ | selfbot-lofy:1.2.3 | 09 февраля, 2026 |
| НПМ | pressclaw:0.3.0 | 09 февраля, 2026 |
| НПМ | @poolzin/pool-bot:2026.1.38 | 09 февраля, 2026 |
| НПМ | @zzedbot/yunzhijia:1.0.2 | 11 февраля, 2026 |
| НПМ | contact-button-podlet:5.8.5 | 11 февраля, 2026 |
| НПМ | search-savedsearch-podlet:5.4.5 | 11 февраля, 2026 |
| НПМ | поиск-newfrontier-podlet:3.1.5 | 11 февраля, 2026 |
| НПМ | static-content-cannabis:999.0.0 | 11 февраля, 2026 |
| НПМ | @iflow-mcp/bacoco-ai-expert-workflow-mcp:2.3.2 | 11 февраля, 2026 |
| Pypi | jsonconfig-utils:1.0.10 | 11 февраля, 2026 |
| Pypi | jsonconfig-utils:1.0.11 | 11 февраля, 2026 |
| НПМ | ether-lint:5.9.0 | 12 февраля, 2026 |
| НПМ | libjs-cqs:90.9.0 | 12 февраля, 2026 |
| НПМ | collabs-merchants:99.9.12 | 12 февраля, 2026 |
Защитите свои зависимости с открытым исходным кодом от уязвимостей и вредоносного кода
Минимизируйте риски и защитите свои приложения от вредоносных пакетов с помощью Раннее обнаружение вредоносных программ Xygeni. Расставьте приоритеты и устраните уязвимости, которые имеют наибольшее значение. Наше комплексное решение предлагает мониторинг зависимостей в реальном времени для обнаружения и устранения угроз до того, как они повлияют на ваше программное обеспечение.
Управление компонентами с открытым исходным кодом в современной среде разработки программного обеспечения имеет решающее значение из-за растущего числа уязвимостей и угроз вредоносного кода. Ксигени Open Source Security Решение сканирует и блокирует вредоносные пакеты после публикации, значительно сводя к минимуму риск проникновения вредоносных программ и уязвимостей в ваши системы. Наш комплексный мониторинг охватывает несколько общедоступных реестров, обеспечивая тщательную проверку всех зависимостей на предмет безопасности и целостности. Xygeni расширяет возможности вашей команды поддерживать безопасные и надежные программные проекты за счет контекстуального определения приоритетов критических проблем и упрощения процессов исправления.
Xygeni использует многоуровневые методы для блокировки вредоносного кода до его распространения. Статический анализ кода выявляет шаблоны обфускации, скрытые полезные нагрузки и злоупотребления скриптами. Кроме того, поведенческая песочница анализирует установку hooks, команды времени выполнения и трюки с сохранением. Более того, машинное обучение выявляет вредоносные программы нулевого дня npm и варианты pypi, пропущенные сканерами сигнатур. Наконец, система раннего оповещения отслеживает общедоступные репозитории в режиме реального времени, проверяет результаты и немедленно оповещает команды DevOps.
В результате эта комбинация гарантирует разработчикам быструю и действенную информацию, интегрированную непосредственно в CI/CD рабочих процессов.
Почему разработчикам следует опасаться вредоносных пакетов npm
Современные угрозы редко дожидаются выполнения. Например, вредоносные пакеты npm часто выполняются во время установки, а вредоносные пакеты pypi скрывают утечку токенов или бэкдоры. Злоумышленники:
- Перенесите приватные репозитории GitHub в публичные, чтобы реплицировать их.
- Извлеките учетные данные и секреты, используя зашифрованные данные.
- Используйте запутанные загрузчики JavaScript для развертывания программ-вымогателей или ботнетов.
Фактически, количество вредоносных пакетов с открытым исходным кодом выросло на 156% за год. Поэтому команды, которые полагаются только на отложенные обновления или базовые сканеры, отстают.
Что этот отчет о вредоносных программах отслеживает в npm и PyPI
Этот дайджест является центральным узлом для:
- Подтвержденные вредоносные пакеты npm
- Подтвержденные вредоносные пакеты pypi
- Обнаружение вредоносного кода на основе поведения
- Инциденты, подтвержденные реестром
- Еженедельные и ежемесячные отчеты о вредоносных программах
- История изменений всех обнаруженных вредоносных программ npm и pypi
Другими словами, он предоставляет единую точку отсчёта. Исследовательская группа Xygeni еженедельно обновляет эту страницу, добавляя ссылки на полный технический анализ и IOC на GitHub.
Как защититься от вредоносных пакетов npm и вредоносного ПО PyPI
Из-за этого растущего рискаорганизациям нужна сильная защита:
- Обеспечить установку только файлов блокировки (
npm ci) в CI/CD. - Кроме того, зависимости сканирования предварительно устанавливаются с помощью механизма раннего оповещения Xygeni.
- Кроме того, блок строится на сигналах вредоносного кода, используя Guardrails.
- Создать SBOMдля отслеживания косвенных зависимостей и применения политик.
- Прежде всего, обучите разработчиков выявлять тайпсквоттинг, обфускацию и подозрительные установочные скрипты.
Попробуйте инструменты обнаружения вредоносных программ от Xygeni
Xygeni обеспечивает:
- Обнаружение вредоносного кода в режиме реального времени, включая бэкдоры, шпионское ПО и программы-вымогатели.
- В отличие от обычных сканеров, анализ данных по всему npm, PyPI, Специалист, NuGet, РубиГемсИ многое другое.
- Автоматическая блокировка сборки, если отчет о вредоносном ПО выявляет риск.
- Анализ возможностей эксплуатации, проверка репутации обслуживающей организации и обнаружение аномалий.
