我们的恶意软件检测系统每周都会扫描 npm 和 PyPI 等公共注册中心的数千个新增和更新的软件包。这一次,我们确认了超过 11 个恶意软件包,包括域名抢注和凭证窃取,以及旨在躲避基本扫描程序的后门库。
每周快照是我们正在进行的 恶意代码摘要,我们发布持续的调查结果,确认新出现的威胁,并帮助 DevSecOps 团队保护他们的 pipeline在造成损害之前。如果您想了解所有已确认的包裹和过去事件的完整背景信息,请务必查看完整的摘要。
让我们分析一下本周的发现及其重要性。
| 生态系统 | 小包装 | 日期 |
|---|---|---|
| NPM | spectral-corsair-navigator:99.99.100 | 2026 年 3 月 16 日 |
| NPM | spectral-corsair-my-backdoor:99.99.101 | 2026 年 3 月 16 日 |
| NPM | lint-builder:1.0.0 | 2026 年 3 月 20 日 |
| NPM | testpoc01:1.0.0 | 2026 年 3 月 16 日 |
| NPM | ember-power-calendar-utils:99.9.91 | 2026 年 3 月 17 日 |
| NPM | devlino:1.0.4 | 2026 年 3 月 16 日 |
| NPM | devlino:1.0.6 | 2026 年 3 月 16 日 |
| NPM | devlino:1.0.8 | 2026 年 3 月 16 日 |
| NPM | graphql-request-dom:1.0.7 | 2026 年 3 月 16 日 |
| NPM | devlino:1.0.10 | 2026 年 3 月 16 日 |
| NPM | @wealth-common/font:99.0.3 | 2026 年 3 月 16 日 |
保护您的开源依赖项免受漏洞和恶意代码的侵害
最大限度地降低风险,并保护您的应用程序免受恶意软件的侵害 Xygeni 早期恶意软件检测. 优先处理最重要的漏洞。我们的综合解决方案可实时监控您的依赖项,以便在威胁影响您的软件之前检测并缓解威胁。
由于漏洞和恶意代码威胁不断增加,在当前的软件开发环境中管理开源组件至关重要。Xygeni 的 Open Source Security 解决方案会在发布时扫描并阻止有害软件包,从而大大降低恶意软件和漏洞侵入系统的风险。我们的全面监控涵盖多个公共注册中心,确保所有依赖项都经过安全性和完整性审查。Xygeni 通过根据上下文优先考虑关键问题并促进简化的补救流程,增强了您的团队维护安全可靠的软件项目的能力。
Xygeni 使用多层技术在恶意代码传播前将其拦截。首先,静态代码分析可以检测混淆模式、隐藏的有效载荷和脚本滥用。此外,行为沙盒分析可以安装 hooks、运行时命令和持久性技巧。此外,机器学习检测可以识别签名扫描器遗漏的零日漏洞 npm 恶意软件和 pypi 恶意软件变种。最后,预警系统实时监控公共存储库,验证发现并立即向 DevOps 团队发出警报。
因此,这种组合确保开发人员能够快速获得可操作的情报,直接集成到 CI/CD 工作流程。
为什么开发人员应该关注恶意 npm 软件包
现代威胁很少等待运行时。例如,恶意 npm 包通常在安装过程中执行,而 pypi 恶意包则隐藏令牌泄露或后门。攻击者:
- 将私有 GitHub 存储库翻转为公开以复制它们。
- 使用编码的有效载荷窃取凭证和机密。
- 使用混淆的 JavaScript 加载器来部署勒索软件或僵尸网络。
事实上,恶意开源软件包的数量在一年内激增了 156%。因此,仅依赖延迟反馈或基本扫描器的团队就会落后。
此恶意软件报告在 npm 和 PyPI 中追踪的内容
本摘要是以下内容的中心枢纽:
- 已确认存在恶意 npm 软件包
- 已确认的 pypi 恶意软件包
- 基于行为的恶意代码检测
- 登记处确认的事件
- 每周和每月恶意软件报告摘要
- 所有 npm 恶意软件和 pypi 恶意软件发现的历史更新日志
换句话说,它提供了一个单一的参考点。Xygeni 的研究团队每周更新此页面,提供完整技术分析和 GitHub IOC 的链接。
如何防范恶意 npm 包和 PyPI 恶意软件
由于这种风险不断增加,组织需要强大的防御:
- 强制仅锁定文件安装(
npm ci)摄影作品通过 CI/CD. - 此外,使用 Xygeni 的早期预警引擎扫描预安装的依赖项。
- 此外,阻止基于恶意代码信号的构建 Guardrails.
- 产生 SBOMs 来追踪间接依赖关系并应用策略。
- 最重要的是,培训开发人员检测域名抢注、混淆和可疑的安装脚本。
尝试 Xygeni 的恶意软件检测工具
Xygeni 提供:
