Каждую неделю наши системы обнаружения вредоносных программ сканируют тысячи новых и обновленных пакетов в общедоступных реестрах, таких как npm и PyPI.
Эта неделя была другой.
Помимо подтверждения Более 40 вредоносных пакетовНаша исследовательская группа провела углублённое изучение следующих вопросов:
- Недавно раскрыта кампания по краже информации, злоупотребляющая экосистемой npm.
- Вредоносная ветка, нацеленная на цепочку поставок библиотеки Baileys в WhatsApp.
Это были не просто случаи тайпсквоттинга. В обоих случаях имело место злоупотребление учетными данными и методы перехвата сессий, способные повлиять на реальную среду разработки.
Этот еженедельный обзор является частью нашего постоянного Обзор вредоносного кодагде мы подтверждаем наличие новых угроз и предоставляем полезную информацию, чтобы помочь командам DevSecOps защитить свои ресурсы. pipelineза несколько секунд до возникновения повреждений.
Давайте разберем, что мы обнаружили на этой неделе и почему это важно.
| Экосистема | Упаковка | Время |
|---|---|---|
| НПМ | conduit-utils:2.95.0 | 27 февраля, 2026 |
| НПМ | conduit-utils:2.96.0 | 27 февраля, 2026 |
| НПМ | conduit-utils:2.97.0 | 27 февраля, 2026 |
| НПМ | conduit-utils:2.99.0 | 27 февраля, 2026 |
| НПМ | conduit-utils:2.98.0 | 27 февраля, 2026 |
| НПМ | conduit-utils:3.99.0 | 27 февраля, 2026 |
| НПМ | rncalendareventsexample:0.0.5 | 02 Марта, 2026 |
| НПМ | examplereactnative76:0.0.8 | 02 Марта, 2026 |
| НПМ | rncalendareventsexample:0.0.10 | 02 Марта, 2026 |
| НПМ | launch-darkly-js:199.99.102 | 03 Марта, 2026 |
| НПМ | launch-darkly-js:199.99.103 | 03 Марта, 2026 |
| НПМ | consolelofy:1.3.0 | 03 Марта, 2026 |
| НПМ | launch-darkly-js:199.99.106 | 03 Марта, 2026 |
| НПМ | securefiles-common:1.0.3 | 28 февраля, 2026 |
| НПМ | nuget-task-common:1.0.4 | 28 февраля, 2026 |
| НПМ | woltpickerapp:40.6.2 | 02 Марта, 2026 |
| НПМ | xrpl-dev-portal:1.0.3 | 03 Марта, 2026 |
| Pypi | isb:1.0.0 | 04 Марта, 2026 |
| Pypi | myproject-bola:1.0.0 | 03 Марта, 2026 |
| НПМ | ag-connect:1.0.0 | 28 февраля, 2026 |
| НПМ | ag-connect:1.0.1 | 28 февраля, 2026 |
| НПМ | ag-connect:1.1.0 | 28 февраля, 2026 |
| НПМ | ag-connect:1.2.0 | 28 февраля, 2026 |
| НПМ | ag-connect:1.3.0 | 28 февраля, 2026 |
| НПМ | ag-connect:1.3.1 | 28 февраля, 2026 |
| НПМ | naughty-package:1.0.2 | 02 Марта, 2026 |
| НПМ | piyush_test_vadapav:1.0.1 | 01 Марта, 2026 |
| НПМ | replay-ci:1.0.0 | 02 Марта, 2026 |
| НПМ | replay-ci:1.0.1 | 02 Марта, 2026 |
| НПМ | ng-vzbootstrap:1.0.3 | 03 Марта, 2026 |
| НПМ | naughty-package:1.0.6 | 02 Марта, 2026 |
| НПМ | pdfjs-dist-v5:100.21.1 | 03 Марта, 2026 |
| НПМ | pino-sdk:9.9.0 | 04 Марта, 2026 |
| НПМ | aio-security-test-template-erk1ny:1.0.0 | 04 Марта, 2026 |
| НПМ | pino-sdk-v2:9.9.0 | 04 Марта, 2026 |
| НПМ | nf-console:99.0.0 | 04 Марта, 2026 |
| НПМ | nf-console:99.0.1 | 04 Марта, 2026 |
| НПМ | yaml-manifest-utils-mynarratorai:2.0.0 | 05 Марта, 2026 |
| НПМ | yaml-manifest-utils-mynarratorai:4.0.0 | 05 Марта, 2026 |
| НПМ | ecto-module:99.0.0 | 05 Марта, 2026 |
| НПМ | gunpowder-ghost:9999.0.0 | 05 Марта, 2026 |
| НПМ | siren-lament:9999.0.0 | 05 Марта, 2026 |
| НПМ | ect-472839:9999.0.0 | 05 Марта, 2026 |
Защитите свои зависимости с открытым исходным кодом от уязвимостей и вредоносного кода
Минимизируйте риски и защитите свои приложения от вредоносных пакетов с помощью Раннее обнаружение вредоносных программ Xygeni. Расставьте приоритеты и устраните уязвимости, которые имеют наибольшее значение. Наше комплексное решение предлагает мониторинг зависимостей в реальном времени для обнаружения и устранения угроз до того, как они повлияют на ваше программное обеспечение.
Управление компонентами с открытым исходным кодом в современной среде разработки программного обеспечения имеет решающее значение из-за растущего числа уязвимостей и угроз вредоносного кода. Ксигени Open Source Security Решение сканирует и блокирует вредоносные пакеты после публикации, значительно сводя к минимуму риск проникновения вредоносных программ и уязвимостей в ваши системы. Наш комплексный мониторинг охватывает несколько общедоступных реестров, обеспечивая тщательную проверку всех зависимостей на предмет безопасности и целостности. Xygeni расширяет возможности вашей команды поддерживать безопасные и надежные программные проекты за счет контекстуального определения приоритетов критических проблем и упрощения процессов исправления.
Xygeni использует многоуровневые методы для блокировки вредоносного кода до его распространения. Статический анализ кода выявляет шаблоны обфускации, скрытые полезные нагрузки и злоупотребления скриптами. Кроме того, поведенческая песочница анализирует установку hooks, команды времени выполнения и трюки с сохранением. Более того, машинное обучение выявляет вредоносные программы нулевого дня npm и варианты pypi, пропущенные сканерами сигнатур. Наконец, система раннего оповещения отслеживает общедоступные репозитории в режиме реального времени, проверяет результаты и немедленно оповещает команды DevOps.
В результате эта комбинация гарантирует разработчикам быструю и действенную информацию, интегрированную непосредственно в CI/CD рабочих процессов.
Почему разработчикам следует опасаться вредоносных пакетов npm
Современные угрозы редко дожидаются выполнения. Например, вредоносные пакеты npm часто выполняются во время установки, а вредоносные пакеты pypi скрывают утечку токенов или бэкдоры. Злоумышленники:
- Перенесите приватные репозитории GitHub в публичные, чтобы реплицировать их.
- Извлеките учетные данные и секреты, используя зашифрованные данные.
- Используйте запутанные загрузчики JavaScript для развертывания программ-вымогателей или ботнетов.
Фактически, количество вредоносных пакетов с открытым исходным кодом выросло на 156% за год. Поэтому команды, которые полагаются только на отложенные обновления или базовые сканеры, отстают.
Что этот отчет о вредоносных программах отслеживает в npm и PyPI
Этот дайджест является центральным узлом для:
- Подтвержденные вредоносные пакеты npm
- Подтвержденные вредоносные пакеты pypi
- Обнаружение вредоносного кода на основе поведения
- Инциденты, подтвержденные реестром
- Еженедельные и ежемесячные отчеты о вредоносных программах
- История изменений всех обнаруженных вредоносных программ npm и pypi
Другими словами, он предоставляет единую точку отсчёта. Исследовательская группа Xygeni еженедельно обновляет эту страницу, добавляя ссылки на полный технический анализ и IOC на GitHub.
Как защититься от вредоносных пакетов npm и вредоносного ПО PyPI
Из-за этого растущего рискаорганизациям нужна сильная защита:
- Обеспечить установку только файлов блокировки (
npm ci) в CI/CD. - Кроме того, зависимости сканирования предварительно устанавливаются с помощью механизма раннего оповещения Xygeni.
- Кроме того, блок строится на сигналах вредоносного кода, используя Guardrails.
- Создать SBOMдля отслеживания косвенных зависимостей и применения политик.
- Прежде всего, обучите разработчиков выявлять тайпсквоттинг, обфускацию и подозрительные установочные скрипты.
Попробуйте инструменты обнаружения вредоносных программ от Xygeni
Xygeni обеспечивает:
- Обнаружение вредоносного кода в режиме реального времени, включая бэкдоры, шпионское ПО и программы-вымогатели.
- В отличие от обычных сканеров, анализ данных по всему npm, PyPI, Специалист, NuGet, РубиГемсИ многое другое.
- Автоматическая блокировка сборки, если отчет о вредоносном ПО выявляет риск.
- Анализ возможностей эксплуатации, проверка репутации обслуживающей организации и обнаружение аномалий.
