בייזוויליקע קאָד דיידזשעסט 73

Xygeni בייזוויליקע קאָד דיידזשעסט 73

Almost every week, our malware detection systems scan thousands of new and updated packages across public registries like npm and PyPI. This week was very active.

We confirmed 198 בייזוויליקע פּעקלעך, primarily across npm, with additional cases in PyPI, OpenVSX, Composer, and VS Code extensions. Several appeared in coordinated clusters, with repeated malicious releases published under the same names or across closely related package families. A standout case was the sensivity package, which flooded npm with over 60 versioned releases across the 2.5.x range. Other notable clusters included ai-sdk-helpers (8 versions targeting AI developers), @antoncallahan/aws-user-helper (7 versions impersonating an AWS utility), @apple-pay-trust און @google-pay-trust families (mimicking payment checkout modules), @frengki0707/google-cloud-clone (5 versions spoofing Google Cloud), and cms-storehub, cms-helpgit, און cms-github (targeting CMS pipelines). Many packages mimicked payment and checkout modules, enterprise and internal web packages, analytics clients, UI foundations, developer utilities, component explorers, cloud- and Google-themed packages, and other modules commonly trusted in modern development workflows.

These were not isolated anomalies. What stood out this week was the scale of repeated publishing across the same package families, the reuse of naming patterns, and the way malicious packages were disguised to look like legitimate dependencies inside real software delivery pipelines.

This weekly snapshot is part of our ongoing Malicious Code Digest, where we validate new threats and provide actionable intelligence to help DevSecOps teams protect their pipelines before damage occurs.

לאָמיר צעברעכן וואָס מיר האָבן געפֿונען די וואָך און פאַרוואָס עס איז וויכטיק.

Confirmed Malicious Packages
יקאָוסיסטאַם פּעקל דאַטע
npm@cloudplatform-single-spa/administration:99.99.100מייַ קסנומקס, קסנומקס
npm@cloudplatform-single-spa/svp-s3-storage:99.99.100מייַ קסנומקס, קסנומקס
npm@maximvs1538/os-npm:99.0.0מייַ קסנומקס, קסנומקס
npm@easy-entry/landing-routes:99.9.5מייַ קסנומקס, קסנומקס
npm@easy-entry/outside-registration-fop-navigator:99.9.5מייַ קסנומקס, קסנומקס
npm@easy-entry/routes:99.9.5מייַ קסנומקס, קסנומקס
npm@t-in-one/form_product_token:5.7.1מייַ קסנומקס, קסנומקס
npm@capibar.chat/ui-kit:99.5.7מייַ קסנומקס, קסנומקס
vscodexampp-manager:5.1.3מייַ קסנומקס, קסנומקס
npm@chat-template/auth:1.0.0מייַ קסנומקס, קסנומקס
npmjson-to-simple-graphql-schema:1.0.0יוני קסנומקס, קסנומקס
npm@gs-select/savings-client-application:99.0.0יוני קסנומקס, קסנומקס
npmnemo-reporter:1.8.2יוני קסנומקס, קסנומקס
npmcms-github:4.2.4יוני קסנומקס, קסנומקס
npmcms-helpgit:4.2.6יוני קסנומקס, קסנומקס
npmcms-helpgit:4.2.8יוני קסנומקס, קסנומקס
npmcms-storehub:1.3.4יוני קסנומקס, קסנומקס
npmcms-storehub:1.3.5יוני קסנומקס, קסנומקס
npmcms-storehub:1.3.6יוני קסנומקס, קסנומקס
pypisimtooreal-cli:0.3.0יוני קסנומקס, קסנומקס
npmretail-location-strategy-frontend:1.1.1יוני קסנומקס, קסנומקס
npmretail-location-strategy-frontend:1.1.2יוני קסנומקס, קסנומקס
npmconversa-sdk:2.0.2יוני קסנומקס, קסנומקס
npmveltrix:9.0.0יוני קסנומקס, קסנומקס
npmveltrix:9.0.1יוני קסנומקס, קסנומקס
npmjingmeideshishi:1.0.4יוני קסנומקס, קסנומקס
npmjingmeideshishi:1.0.5יוני קסנומקס, קסנומקס
npm@tse-digital/core:99.0.0יוני קסנומקס, קסנומקס
npm@telenor-se/core:99.0.0יוני קסנומקס, קסנומקס
npm@ownit/core:99.0.0יוני קסנומקס, קסנומקס
npmpatientdocuments:75.0.0יוני קסנומקס, קסנומקס
npm@antoncallahan/aws-user-helper:6767.67.69יוני קסנומקס, קסנומקס
npm@antoncallahan/aws-user-helper:6767.67.68יוני קסנומקס, קסנומקס
npm@antoncallahan/aws-user-helper:6767.67.82יוני קסנומקס, קסנומקס
npm@antoncallahan/aws-user-helper:6767.67.80יוני קסנומקס, קסנומקס
npm@antoncallahan/aws-user-helper:6767.67.81יוני קסנומקס, קסנומקס
npm@antoncallahan/aws-user-helper:6767.67.83יוני קסנומקס, קסנומקס
npm@antoncallahan/aws-user-helper:6767.67.3יוני קסנומקס, קסנומקס
npm@emcd-vue/auth:6.4.9יוני קסנומקס, קסנומקס
npm@emcd-vue/b2b-pay-form:5.7.4יוני קסנומקס, קסנומקס
npm@ccrm/user-storage-api-axios:5.0.1יוני קסנומקס, קסנומקס
npmsensivity:2.5.8יוני קסנומקס, קסנומקס
npmsensivity:2.5.12יוני קסנומקס, קסנומקס
npmsensivity:2.5.16יוני קסנומקס, קסנומקס
npmsensivity:2.5.17יוני קסנומקס, קסנומקס
npmsensivity:2.5.18יוני קסנומקס, קסנומקס
npmsensivity:2.5.19יוני קסנומקס, קסנומקס
npmsensivity:2.5.20יוני קסנומקס, קסנומקס
npmsensivity:2.5.21יוני קסנומקס, קסנומקס
npmsensivity:2.5.22יוני קסנומקס, קסנומקס
npmsensivity:2.5.23יוני קסנומקס, קסנומקס
npmsensivity:2.5.24יוני קסנומקס, קסנומקס
npmsensivity:2.5.25יוני קסנומקס, קסנומקס
npmsensivity:2.5.26יוני קסנומקס, קסנומקס
npmsensivity:2.5.27יוני קסנומקס, קסנומקס
npmsensivity:2.5.28יוני קסנומקס, קסנומקס
npmsensivity:2.5.29יוני קסנומקס, קסנומקס
npmsensivity:2.5.30יוני קסנומקס, קסנומקס
npmsensivity:2.5.31יוני קסנומקס, קסנומקס
npmsensivity:2.5.32יוני קסנומקס, קסנומקס
npmsensivity:2.5.41יוני קסנומקס, קסנומקס
npmsensivity:2.5.42יוני קסנומקס, קסנומקס
npmsensivity:2.5.43יוני קסנומקס, קסנומקס
npmsensivity:2.5.44יוני קסנומקס, קסנומקס
npmsensivity:2.5.45יוני קסנומקס, קסנומקס
npmsensivity:2.5.46יוני קסנומקס, קסנומקס
npmmeoo-ui-helpers:1.0.1יוני קסנומקס, קסנומקס
npm@langgraphjs/toolkit:1.2.10יוני קסנומקס, קסנומקס
npmeyevox:9.0.1יוני קסנומקס, קסנומקס
npmsensivity:2.5.53יוני קסנומקס, קסנומקס
npmsensivity:2.5.54יוני קסנומקס, קסנומקס
npmsensivity:2.5.55יוני קסנומקס, קסנומקס
npmsensivity:2.5.56יוני קסנומקס, קסנומקס
npmsensivity:2.5.57יוני קסנומקס, קסנומקס
npmsensivity:2.5.61יוני קסנומקס, קסנומקס
npm@sentry-browser-sdk/profiling-node:1.0.1יוני קסנומקס, קסנומקס
npm@sentry-browser-sdk/profiling-node:1.0.2יוני קסנומקס, קסנומקס
npm@sentry-browser-sdk/profiling-node:1.0.5יוני קסנומקס, קסנומקס
npmfundraiserserv:1.0.0יוני קסנומקס, קסנומקס
npmsensivity:2.5.67יוני קסנומקס, קסנומקס
npmsensivity:2.5.68יוני קסנומקס, קסנומקס
npmvg-interaction-model:40.0.5יוני קסנומקס, קסנומקס
npminternallib_v346:1.0.3יוני קסנומקס, קסנומקס
npminternallib_v346:1.0.5יוני קסנומקס, קסנומקס
npminternallib_v346:1.0.9יוני קסנומקס, קסנומקס
npmai-sdk-helpers:0.2.1יוני קסנומקס, קסנומקס
npmai-sdk-helpers:0.3.0יוני קסנומקס, קסנומקס
npmai-sdk-helpers:0.3.1יוני קסנומקס, קסנומקס
npmai-sdk-helpers:1.1.0יוני קסנומקס, קסנומקס
npmai-sdk-helpers:1.1.1יוני קסנומקס, קסנומקס
npmai-sdk-helpers:1.3.0יוני קסנומקס, קסנומקס
npmai-sdk-helpers:1.4.0יוני קסנומקס, קסנומקס
npmai-sdk-helpers:1.4.2יוני קסנומקס, קסנומקס
npm@achuthvp/postinstall-poc:1.0.3יוני קסנומקס, קסנומקס
npmsensivity:2.5.0יוני קסנומקס, קסנומקס
npmsensivity:2.5.1יוני קסנומקס, קסנומקס
npmsensivity:2.5.2יוני קסנומקס, קסנומקס
npmsensivity:2.5.3יוני קסנומקס, קסנומקס
npmsensivity:2.5.4יוני קסנומקס, קסנומקס
npmsensivity:2.5.5יוני קסנומקס, קסנומקס
npmsensivity:2.5.13יוני קסנומקס, קסנומקס
npmsensivity:2.5.14יוני קסנומקס, קסנומקס
npmsensivity:2.5.15יוני קסנומקס, קסנומקס
npmsensivity:2.5.33יוני קסנומקס, קסנומקס
npmsensivity:2.5.34יוני קסנומקס, קסנומקס
npmsensivity:2.5.35יוני קסנומקס, קסנומקס
npmsensivity:2.5.36יוני קסנומקס, קסנומקס
npmsensivity:2.5.37יוני קסנומקס, קסנומקס
npmsensivity:2.5.38יוני קסנומקס, קסנומקס
npmsensivity:2.5.58יוני קסנומקס, קסנומקס
npmsensivity:2.5.59יוני קסנומקס, קסנומקס
npmsensivity:2.5.60יוני קסנומקס, קסנומקס
npmsensivity:2.5.62יוני קסנומקס, קסנומקס
npmsensivity:2.5.63יוני קסנומקס, קסנומקס
npmsensivity:2.5.64יוני קסנומקס, קסנומקס
npmsensivity:2.5.65יוני קסנומקס, קסנומקס
npmsensivity:2.5.66יוני קסנומקס, קסנומקס
npmsensivity:2.5.69יוני קסנומקס, קסנומקס


זיכער אייערע אפן-קוואל אפהענגיקייטן קעגן שוואכקייטן און בייזוויליקע קאוד

Don’t let malicious packages reach your pipelines. Xygeni פריע מאַלוואַרע דעטעקציע gives your team real-time visibility into the threats that matter most,  catching harmful dependencies before they ever touch your software.

As this week’s digest makes clear, the volume and sophistication of malicious package campaigns is not slowing down. Coordinated version flooding, payment module impersonation, and internal-sounding package names are just some of the tactics attackers are using to slip past standard defenses. Staying ahead of these threats requires more than periodic audits, it demands continuous monitoring across every registry your teams depend on.

קסיגעני'ס Open Source Security solution scans and blocks harmful packages at the point of publication, across npm, PyPI, and beyond. By contextually prioritizing the vulnerabilities that pose the greatest real-world risk (and streamlining the remediation path for your DevSecOps teams) Xygeni helps you maintain secure, reliable software delivery without slowing development down.

סקאַ-טולס-סאָפֿטווער-קאָמפּאָזיציע-אַנאַליז-טולס
פּריאָריטיזירן, פאַרריכטן און זיכערן אייערע ווייכווארג ריזיקעס
באַקומען דיין פריי חשבון.
קיין קרעדיט קאַרטל פארלאנגט.

זיכערן אייער ווייכווארג אנטוויקלונג און ליפערונג

מיט Xygeni פּראָדוקט סוויט