每周我们的恶意软件检测系统会扫描 npm 和 PyPI 等公共注册表中的数千个新增和更新的软件包。
本周尤其繁忙。
我们已确认 45 个恶意软件包主要是在 NPM,还有其他病例 的PyPI 以及 VS代码其中一些恶意程序以协同集群的形式出现,重复发布以相同名称或密切相关的软件包系列为名的恶意程序。许多程序模仿了…… 人工智能相关工具, 开发人员工具, Kubernetes 和云工具, 数据库助手, 前端组件, 编辑器软件包以及其他在现代开发工作流程中常用的模块。
这些并非孤立的异常情况。本周的突出之处在于,同一软件包系列中存在重复发布、命名模式重复使用以及恶意软件包伪装成合法依赖项的方式。 pipelines.
每周快照是我们正在进行的 恶意代码摘要我们会验证新的威胁,并提供可操作的情报来帮助 DevSecOps 团队 保护他们的 pipeline在损害发生之前。
让我们分析一下本周的发现及其重要性。
| 生态系统 | 小包装 | 日期 |
|---|---|---|
| NPM | sn3akysnak3-test:1.1.1 | 2026 年 4 月 17 日 |
| NPM | node-red-contrib-yolo-object-detection:9.1.11 | 2026 年 4 月 17 日 |
| NPM | node-red-contrib-yolo-object-detection:9.1.12 | 2026 年 4 月 17 日 |
| VS代码 | ptah-coding-orchestra:0.2.18 | 2026 年 4 月 17 日 |
| pi | 死星人工智能:0.19.9 | 2026 年 4 月 17 日 |
| NPM | wazir-xlocaletstnpm:9.9.2 | 2026 年 4 月 20 日 |
| pi | notrandompacketname:0.1.12 | 2026 年 4 月 20 日 |
| NPM | pocbitbarrontest:1.0.0 | 2026 年 4 月 20 日 |
| NPM | ac-sasskit-internal:100.0.12 | 2026 年 4 月 21 日 |
| NPM | sy-editor-v3:8.0.0 | 2026 年 4 月 19 日 |
| NPM | sy-editor-v3:9.0.0 | 2026 年 4 月 19 日 |
| NPM | sy-editor-v3:9.0.1 | 2026 年 4 月 19 日 |
| NPM | @caspian2026/agent-sdk:0.0.5 | 2026 年 4 月 20 日 |
| NPM | pa-marked:99.1.10 | 2026 年 4 月 20 日 |
| NPM | react-spa-shadcn:99.3.0 | 2026 年 4 月 24 日 |
| pi | moonbit-locale-compat:0.2.3 | 2026 年 4 月 20 日 |
| NPM | shadxino:1.0.0 | 2026 年 4 月 21 日 |
| NPM | claude-skills-library:2.0.6 | 2026 年 4 月 21 日 |
| NPM | claude-skills-library:2.0.3 | 2026 年 4 月 21 日 |
| NPM | claude-skills-library:1.0.2 | 2026 年 4 月 21 日 |
| NPM | claude-skills-library:2.0.0 | 2026 年 4 月 21 日 |
| NPM | claude-skills-library:1.0.1 | 2026 年 4 月 21 日 |
| NPM | claude-skills-library:2.0.18 | 2026 年 4 月 22 日 |
| NPM | claude-skills-library:2.0.19 | 2026 年 4 月 22 日 |
| NPM | kube-health-tools:2.4.0 | 2026 年 4 月 22 日 |
| NPM | pgserve:1.1.11 | 2026 年 4 月 22 日 |
| NPM | pgserve:1.1.12 | 2026 年 4 月 22 日 |
| NPM | pgserve:1.1.13 | 2026 年 4 月 22 日 |
| NPM | kube-health-tools:2.4.1 | 2026 年 4 月 22 日 |
| NPM | k8s-pod-checker:0.0.1 | 2026 年 4 月 22 日 |
| NPM | node-perf-utils:0.0.1 | 2026 年 4 月 22 日 |
| NPM | dev-env-setup:0.0.1 | 2026 年 4 月 22 日 |
| NPM | kube-health-tools:2.4.2 | 2026 年 4 月 22 日 |
| NPM | dev-env-setup:0.0.2 | 2026 年 4 月 22 日 |
| NPM | k8s-pod-checker:0.0.2 | 2026 年 4 月 22 日 |
| NPM | node-perf-utils:0.0.2 | 2026 年 4 月 22 日 |
| NPM | @automagik/genie:4.260421.40 | 2026 年 4 月 22 日 |
| NPM | pgserve:1.1.14 | 2026 年 4 月 22 日 |
| NPM | kube-health-tools:2.4.3 | 2026 年 4 月 22 日 |
| NPM | node-perf-utils:0.0.3 | 2026 年 4 月 22 日 |
| NPM | k8s-pod-checker:0.0.3 | 2026 年 4 月 22 日 |
| NPM | dev-env-setup:0.0.3 | 2026 年 4 月 22 日 |
| NPM | react-spa-shadcn:100.9.9 | 2026 年 4 月 24 日 |
| NPM | microsoft-employee-experience:99.2.1 | 2026 年 4 月 24 日 |
| NPM | microsoft-employee-experience:99.2.2 | 2026 年 4 月 24 日 |
保护您的开源依赖项免受漏洞和恶意代码的侵害
最大限度地降低风险,并保护您的应用程序免受恶意软件的侵害 Xygeni 早期恶意软件检测. 优先处理最重要的漏洞。我们的综合解决方案可实时监控您的依赖项,以便在威胁影响您的软件之前检测并缓解威胁。
由于漏洞和恶意代码威胁不断增加,在当前的软件开发环境中管理开源组件至关重要。Xygeni 的 Open Source Security 解决方案会在发布时扫描并阻止有害软件包,从而大大降低恶意软件和漏洞侵入系统的风险。我们的全面监控涵盖多个公共注册中心,确保所有依赖项都经过安全性和完整性审查。Xygeni 通过根据上下文优先考虑关键问题并促进简化的补救流程,增强了您的团队维护安全可靠的软件项目的能力。
Xygeni 使用多层技术在恶意代码传播前将其拦截。首先,静态代码分析可以检测混淆模式、隐藏的有效载荷和脚本滥用。此外,行为沙盒分析可以安装 hooks、运行时命令和持久性技巧。此外,机器学习检测可以识别签名扫描器遗漏的零日漏洞 npm 恶意软件和 pypi 恶意软件变种。最后,预警系统实时监控公共存储库,验证发现并立即向 DevOps 团队发出警报。
因此,这种组合确保开发人员能够快速获得可操作的情报,直接集成到 CI/CD 工作流程。
为什么开发人员应该关注恶意 npm 软件包
现代威胁很少等待运行时。例如,恶意 npm 包通常在安装过程中执行,而 pypi 恶意包则隐藏令牌泄露或后门。攻击者:
- 将私有 GitHub 存储库翻转为公开以复制它们。
- 使用编码的有效载荷窃取凭证和机密。
- 使用混淆的 JavaScript 加载器来部署勒索软件或僵尸网络。
事实上,恶意开源软件包的数量在一年内激增了 156%。因此,仅依赖延迟反馈或基本扫描器的团队就会落后。
此恶意软件报告在 npm 和 PyPI 中追踪的内容
本摘要是以下内容的中心枢纽:
- 已确认存在恶意 npm 软件包
- 已确认的 pypi 恶意软件包
- 基于行为的恶意代码检测
- 登记处确认的事件
- 每周和每月恶意软件报告摘要
- 所有 npm 恶意软件和 pypi 恶意软件发现的历史更新日志
换句话说,它提供了一个单一的参考点。Xygeni 的研究团队每周更新此页面,提供完整技术分析和 GitHub IOC 的链接。
如何防范恶意 npm 包和 PyPI 恶意软件
由于这种风险不断增加,组织需要强大的防御:
- 强制仅锁定文件安装(
npm ci)摄影作品通过 CI/CD. - 此外,使用 Xygeni 的早期预警引擎扫描预安装的依赖项。
- 此外,阻止基于恶意代码信号的构建 Guardrails.
- 产生 SBOMs 来追踪间接依赖关系并应用策略。
- 最重要的是,培训开发人员检测域名抢注、混淆和可疑的安装脚本。
尝试 Xygeni 的恶意软件检测工具
Xygeni 提供:
