Amper elke week, ons wanware-opsporingstelsels skandeer duisende nuwe en opgedateerde pakkette oor openbare registers soos npm en PyPI. Hierdie week was baie aktief.
Ons het bevestig 198 kwaadwillige pakkette, hoofsaaklik oor npm, met bykomende gevalle in PyPI, OpenVSX, Composer, en VS Code uitbreidings. Verskeie het in gekoördineerde groepe verskyn, met herhaalde kwaadwillige vrystellings gepubliseer onder dieselfde name of oor nou verwante pakketfamilies. 'n Uitstaande geval was die sensivity pakket, wat npm oorstroom het met meer as 60 weergawes oor die 2.5.x-reeks. Ander noemenswaardige groepe het ingesluit ai-sdk-helpers (8 weergawes wat KI-ontwikkelaars teiken), @antoncallahan/aws-user-helper (7 weergawes wat 'n AWS-hulpprogram naboots), @apple-pay-trust en @google-pay-trust families (wat betalingsafhandelingsmodules naboots), @frengki0707/google-cloud-clone (5 weergawes wat Google Cloud namaak), en cms-storehub, cms-helpgit, en cms-github (teiken CMS) pipelines). Baie pakkette het betalings- en afhandelingsmodules nageboots, enterprise en interne webpakkette, analitiese kliënte, UI-fondamente, ontwikkelaarshulpprogramme, komponentverkenners, wolk- en Google-temapakkette, en ander modules wat algemeen in moderne ontwikkelingswerkvloeie vertrou word.
Dit was nie geïsoleerde afwykings nie. Wat hierdie week uitgestaan het, was die omvang van herhaalde publikasie oor dieselfde pakketfamilies, die hergebruik van naamgewingspatrone, en die manier waarop kwaadwillige pakkette vermom is om soos wettige afhanklikhede binne werklike sagteware-aflewering te lyk. pipelines.
Hierdie weeklikse momentopname is deel van ons deurlopende Malicious Code Digest, waar ons nuwe bedreigings valideer en bruikbare intelligensie verskaf om DevSecOps-spanne te help om hul ... te beskerm. pipelines voordat skade plaasvind.
Kom ons kyk na wat ons hierdie week gevind het en hoekom dit saak maak.
| ekosisteem | pakket | datum |
|---|---|---|
| NPM | @cloudplatform-single-spa/administrasie:99.99.100 | Mag 30, 2026 |
| NPM | @cloudplatform-single-spa/svp-s3-berging:99.99.100 | Mag 30, 2026 |
| NPM | @maximvs1538/os-npm:99.0.0 | Mag 30, 2026 |
| NPM | @maklike-toegangs-/landingsroetes:99.9.5 | Mag 30, 2026 |
| NPM | @maklike-toegang/buite-registrasie-fop-navigator:99.9.5 | Mag 30, 2026 |
| NPM | @maklike-toegang/roetes:99.9.5 | Mag 30, 2026 |
| NPM | @t-in-een/vorm_produk_teken:5.7.1 | Mag 30, 2026 |
| NPM | @capibar.chat/ui-kit:99.5.7 | Mag 30, 2026 |
| vskode | xampp-bestuurder:5.1.3 | Mag 30, 2026 |
| NPM | @klets-sjabloon/outoriteit:1.0.0 | Mag 31, 2026 |
| NPM | json-na-eenvoudige-graphql-skema:1.0.0 | Junie 1, 2026 |
| NPM | @gs-select/spaar-kliënt-toepassing:99.0.0 | Junie 1, 2026 |
| NPM | nemo-verslaggewer:1.8.2 | Junie 1, 2026 |
| NPM | cms-github:4.2.4 | Junie 1, 2026 |
| NPM | cms-helpgit:4.2.6 | Junie 1, 2026 |
| NPM | cms-helpgit:4.2.8 | Junie 1, 2026 |
| NPM | cms-winkelhub:1.3.4 | Junie 1, 2026 |
| NPM | cms-winkelhub:1.3.5 | Junie 1, 2026 |
| NPM | cms-winkelhub:1.3.6 | Junie 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Junie 1, 2026 |
| NPM | kleinhandel-liggingstrategie-voorkant: 1.1.1 | Junie 1, 2026 |
| NPM | kleinhandel-liggingstrategie-voorkant: 1.1.2 | Junie 1, 2026 |
| NPM | conversa-sdk:2.0.2 | Junie 1, 2026 |
| NPM | veltrix:9.0.0 | Junie 1, 2026 |
| NPM | veltrix:9.0.1 | Junie 1, 2026 |
| NPM | jingmeideshishi:1.0.4 | Junie 1, 2026 |
| NPM | jingmeideshishi:1.0.5 | Junie 1, 2026 |
| NPM | @tse-digitaal/kern:99.0.0 | Junie 1, 2026 |
| NPM | @telenor-se/kern:99.0.0 | Junie 1, 2026 |
| NPM | @ownit/kern:99.0.0 | Junie 1, 2026 |
| NPM | pasiëntdokumente: 75.0.0 | Junie 1, 2026 |
| NPM | @antoncallahan/aws-gebruiker-helper:6767.67.69 | Junie 1, 2026 |
| NPM | @antoncallahan/aws-gebruiker-helper:6767.67.68 | Junie 1, 2026 |
| NPM | @antoncallahan/aws-gebruiker-helper:6767.67.82 | Junie 1, 2026 |
| NPM | @antoncallahan/aws-gebruiker-helper:6767.67.80 | Junie 1, 2026 |
| NPM | @antoncallahan/aws-gebruiker-helper:6767.67.81 | Junie 1, 2026 |
| NPM | @antoncallahan/aws-gebruiker-helper:6767.67.83 | Junie 1, 2026 |
| NPM | @antoncallahan/aws-gebruiker-helper:6767.67.3 | Junie 1, 2026 |
| NPM | @emcd-vue/outoriteit:6.4.9 | Junie 1, 2026 |
| NPM | @emcd-vue/b2b-betaalvorm:5.7.4 | Junie 1, 2026 |
| NPM | @ccrm/user-storage-api-axios:5.0.1 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.8 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.12 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.16 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.17 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.18 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.19 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.20 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.21 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.22 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.23 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.24 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.25 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.26 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.27 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.28 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.29 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.30 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.31 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.32 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.41 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.42 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.43 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.44 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.45 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.46 | Junie 2, 2026 |
| NPM | meoo-ui-helpers:1.0.1 | Junie 2, 2026 |
| NPM | @langgraphjs/gereedskapskis:1.2.10 | Junie 2, 2026 |
| NPM | oogvox:9.0.1 | Junie 2, 2026 |
| NPM | sensitiwiteit: 2.5.53 | Junie 3, 2026 |
| NPM | sensitiwiteit: 2.5.54 | Junie 3, 2026 |
| NPM | sensitiwiteit: 2.5.55 | Junie 3, 2026 |
| NPM | sensitiwiteit: 2.5.56 | Junie 3, 2026 |
| NPM | sensitiwiteit: 2.5.57 | Junie 3, 2026 |
| NPM | sensitiwiteit: 2.5.61 | Junie 3, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.1 | Junie 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.2 | Junie 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.5 | Junie 4, 2026 |
| NPM | fondsinsamelingsbediening:1.0.0 | Junie 4, 2026 |
| NPM | sensitiwiteit: 2.5.67 | Junie 4, 2026 |
| NPM | sensitiwiteit: 2.5.68 | Junie 4, 2026 |
| NPM | vg-interaksie-model:40.0.5 | Junie 4, 2026 |
| NPM | internelib_v346:1.0.3 | Junie 4, 2026 |
| NPM | internelib_v346:1.0.5 | Junie 4, 2026 |
| NPM | internelib_v346:1.0.9 | Junie 4, 2026 |
| NPM | ai-sdk-helpers:0.2.1 | Junie 4, 2026 |
| NPM | ai-sdk-helpers:0.3.0 | Junie 4, 2026 |
| NPM | ai-sdk-helpers:0.3.1 | Junie 4, 2026 |
| NPM | ai-sdk-helpers:1.1.0 | Junie 4, 2026 |
| NPM | ai-sdk-helpers:1.1.1 | Junie 4, 2026 |
| NPM | ai-sdk-helpers:1.3.0 | Junie 4, 2026 |
| NPM | ai-sdk-helpers:1.4.0 | Junie 4, 2026 |
| NPM | ai-sdk-helpers:1.4.2 | Junie 4, 2026 |
| NPM | @achuthvp/postinstall-poc:1.0.3 | Junie 4, 2026 |
| NPM | sensitiwiteit: 2.5.0 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.1 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.2 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.3 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.4 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.5 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.13 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.14 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.15 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.33 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.34 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.35 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.36 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.37 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.38 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.58 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.59 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.60 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.62 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.63 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.64 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.65 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.66 | Junie 5, 2026 |
| NPM | sensitiwiteit: 2.5.69 | Junie 5, 2026 |
Beveilig jou oopbron-afhanklikhede teen kwesbaarhede en kwaadwillige kode
Moenie toelaat dat kwaadwillige pakkette jou bereik nie pipelines. Xygeni Vroeë Opsporing van Wanware gee jou span intydse sigbaarheid oor die bedreigings wat die belangrikste is, en vang skadelike afhanklikhede op voordat hulle ooit jou sagteware raak.
Soos hierdie week se opsomming duidelik maak, verlangsaam die volume en gesofistikeerdheid van kwaadwillige pakketveldtogte nie. Gekoördineerde weergawe-oorstromings, nabootsing van betalingsmodules en intern-klinkende pakketname is slegs 'n paar van die taktieke wat aanvallers gebruik om verby te glip. standard verdediging. Om voor te bly op hierdie bedreigings vereis meer as periodieke oudits, dit vereis deurlopende monitering oor elke register waarop jou spanne staatmaak.
Xygeni's Open Source Security Die oplossing skandeer en blokkeer skadelike pakkette by die punt van publikasie, oor npm, PyPI en verder. Deur kontekstueel die kwesbaarhede te prioritiseer wat die grootste werklike risiko inhou (en die remediëringspad vir jou DevSecOps-spanne te stroomlyn), help Xygeni jou om veilige, betroubare sagteware-lewering te handhaaf sonder om ontwikkeling te vertraag.




