Kwaadwillige Kode Digest 73

Xygeni Kwaadwillige Kode Digest 73

Amper elke week, ons wanware-opsporingstelsels skandeer duisende nuwe en opgedateerde pakkette oor openbare registers soos npm en PyPI. Hierdie week was baie aktief.

Ons het bevestig 198 kwaadwillige pakkette, hoofsaaklik oor npm, met bykomende gevalle in PyPI, OpenVSX, Composer, en VS Code uitbreidings. Verskeie het in gekoördineerde groepe verskyn, met herhaalde kwaadwillige vrystellings gepubliseer onder dieselfde name of oor nou verwante pakketfamilies. 'n Uitstaande geval was die sensivity pakket, wat npm oorstroom het met meer as 60 weergawes oor die 2.5.x-reeks. Ander noemenswaardige groepe het ingesluit ai-sdk-helpers (8 weergawes wat KI-ontwikkelaars teiken), @antoncallahan/aws-user-helper (7 weergawes wat 'n AWS-hulpprogram naboots), @apple-pay-trust en @google-pay-trust families (wat betalingsafhandelingsmodules naboots), @frengki0707/google-cloud-clone (5 weergawes wat Google Cloud namaak), en cms-storehub, cms-helpgit, en cms-github (teiken CMS) pipelines). Baie pakkette het betalings- en afhandelingsmodules nageboots, enterprise en interne webpakkette, analitiese kliënte, UI-fondamente, ontwikkelaarshulpprogramme, komponentverkenners, wolk- en Google-temapakkette, en ander modules wat algemeen in moderne ontwikkelingswerkvloeie vertrou word.

Dit was nie geïsoleerde afwykings nie. Wat hierdie week uitgestaan ​​het, was die omvang van herhaalde publikasie oor dieselfde pakketfamilies, die hergebruik van naamgewingspatrone, en die manier waarop kwaadwillige pakkette vermom is om soos wettige afhanklikhede binne werklike sagteware-aflewering te lyk. pipelines.

Hierdie weeklikse momentopname is deel van ons deurlopende Malicious Code Digest, waar ons nuwe bedreigings valideer en bruikbare intelligensie verskaf om DevSecOps-spanne te help om hul ... te beskerm. pipelines voordat skade plaasvind.

Kom ons kyk na wat ons hierdie week gevind het en hoekom dit saak maak.

Bevestigde Kwaadwillige Pakkette
ekosisteem pakket datum
NPM@cloudplatform-single-spa/administrasie:99.99.100Mag 30, 2026
NPM@cloudplatform-single-spa/svp-s3-berging:99.99.100Mag 30, 2026
NPM@maximvs1538/os-npm:99.0.0Mag 30, 2026
NPM@maklike-toegangs-/landingsroetes:99.9.5Mag 30, 2026
NPM@maklike-toegang/buite-registrasie-fop-navigator:99.9.5Mag 30, 2026
NPM@maklike-toegang/roetes:99.9.5Mag 30, 2026
NPM@t-in-een/vorm_produk_teken:5.7.1Mag 30, 2026
NPM@capibar.chat/ui-kit:99.5.7Mag 30, 2026
vskodexampp-bestuurder:5.1.3Mag 30, 2026
NPM@klets-sjabloon/outoriteit:1.0.0Mag 31, 2026
NPMjson-na-eenvoudige-graphql-skema:1.0.0Junie 1, 2026
NPM@gs-select/spaar-kliënt-toepassing:99.0.0Junie 1, 2026
NPMnemo-verslaggewer:1.8.2Junie 1, 2026
NPMcms-github:4.2.4Junie 1, 2026
NPMcms-helpgit:4.2.6Junie 1, 2026
NPMcms-helpgit:4.2.8Junie 1, 2026
NPMcms-winkelhub:1.3.4Junie 1, 2026
NPMcms-winkelhub:1.3.5Junie 1, 2026
NPMcms-winkelhub:1.3.6Junie 1, 2026
pypisimtooreal-cli:0.3.0Junie 1, 2026
NPMkleinhandel-liggingstrategie-voorkant: 1.1.1Junie 1, 2026
NPMkleinhandel-liggingstrategie-voorkant: 1.1.2Junie 1, 2026
NPMconversa-sdk:2.0.2Junie 1, 2026
NPMveltrix:9.0.0Junie 1, 2026
NPMveltrix:9.0.1Junie 1, 2026
NPMjingmeideshishi:1.0.4Junie 1, 2026
NPMjingmeideshishi:1.0.5Junie 1, 2026
NPM@tse-digitaal/kern:99.0.0Junie 1, 2026
NPM@telenor-se/kern:99.0.0Junie 1, 2026
NPM@ownit/kern:99.0.0Junie 1, 2026
NPMpasiëntdokumente: 75.0.0Junie 1, 2026
NPM@antoncallahan/aws-gebruiker-helper:6767.67.69Junie 1, 2026
NPM@antoncallahan/aws-gebruiker-helper:6767.67.68Junie 1, 2026
NPM@antoncallahan/aws-gebruiker-helper:6767.67.82Junie 1, 2026
NPM@antoncallahan/aws-gebruiker-helper:6767.67.80Junie 1, 2026
NPM@antoncallahan/aws-gebruiker-helper:6767.67.81Junie 1, 2026
NPM@antoncallahan/aws-gebruiker-helper:6767.67.83Junie 1, 2026
NPM@antoncallahan/aws-gebruiker-helper:6767.67.3Junie 1, 2026
NPM@emcd-vue/outoriteit:6.4.9Junie 1, 2026
NPM@emcd-vue/b2b-betaalvorm:5.7.4Junie 1, 2026
NPM@ccrm/user-storage-api-axios:5.0.1Junie 2, 2026
NPMsensitiwiteit: 2.5.8Junie 2, 2026
NPMsensitiwiteit: 2.5.12Junie 2, 2026
NPMsensitiwiteit: 2.5.16Junie 2, 2026
NPMsensitiwiteit: 2.5.17Junie 2, 2026
NPMsensitiwiteit: 2.5.18Junie 2, 2026
NPMsensitiwiteit: 2.5.19Junie 2, 2026
NPMsensitiwiteit: 2.5.20Junie 2, 2026
NPMsensitiwiteit: 2.5.21Junie 2, 2026
NPMsensitiwiteit: 2.5.22Junie 2, 2026
NPMsensitiwiteit: 2.5.23Junie 2, 2026
NPMsensitiwiteit: 2.5.24Junie 2, 2026
NPMsensitiwiteit: 2.5.25Junie 2, 2026
NPMsensitiwiteit: 2.5.26Junie 2, 2026
NPMsensitiwiteit: 2.5.27Junie 2, 2026
NPMsensitiwiteit: 2.5.28Junie 2, 2026
NPMsensitiwiteit: 2.5.29Junie 2, 2026
NPMsensitiwiteit: 2.5.30Junie 2, 2026
NPMsensitiwiteit: 2.5.31Junie 2, 2026
NPMsensitiwiteit: 2.5.32Junie 2, 2026
NPMsensitiwiteit: 2.5.41Junie 2, 2026
NPMsensitiwiteit: 2.5.42Junie 2, 2026
NPMsensitiwiteit: 2.5.43Junie 2, 2026
NPMsensitiwiteit: 2.5.44Junie 2, 2026
NPMsensitiwiteit: 2.5.45Junie 2, 2026
NPMsensitiwiteit: 2.5.46Junie 2, 2026
NPMmeoo-ui-helpers:1.0.1Junie 2, 2026
NPM@langgraphjs/gereedskapskis:1.2.10Junie 2, 2026
NPMoogvox:9.0.1Junie 2, 2026
NPMsensitiwiteit: 2.5.53Junie 3, 2026
NPMsensitiwiteit: 2.5.54Junie 3, 2026
NPMsensitiwiteit: 2.5.55Junie 3, 2026
NPMsensitiwiteit: 2.5.56Junie 3, 2026
NPMsensitiwiteit: 2.5.57Junie 3, 2026
NPMsensitiwiteit: 2.5.61Junie 3, 2026
NPM@sentry-browser-sdk/profiling-node:1.0.1Junie 4, 2026
NPM@sentry-browser-sdk/profiling-node:1.0.2Junie 4, 2026
NPM@sentry-browser-sdk/profiling-node:1.0.5Junie 4, 2026
NPMfondsinsamelingsbediening:1.0.0Junie 4, 2026
NPMsensitiwiteit: 2.5.67Junie 4, 2026
NPMsensitiwiteit: 2.5.68Junie 4, 2026
NPMvg-interaksie-model:40.0.5Junie 4, 2026
NPMinternelib_v346:1.0.3Junie 4, 2026
NPMinternelib_v346:1.0.5Junie 4, 2026
NPMinternelib_v346:1.0.9Junie 4, 2026
NPMai-sdk-helpers:0.2.1Junie 4, 2026
NPMai-sdk-helpers:0.3.0Junie 4, 2026
NPMai-sdk-helpers:0.3.1Junie 4, 2026
NPMai-sdk-helpers:1.1.0Junie 4, 2026
NPMai-sdk-helpers:1.1.1Junie 4, 2026
NPMai-sdk-helpers:1.3.0Junie 4, 2026
NPMai-sdk-helpers:1.4.0Junie 4, 2026
NPMai-sdk-helpers:1.4.2Junie 4, 2026
NPM@achuthvp/postinstall-poc:1.0.3Junie 4, 2026
NPMsensitiwiteit: 2.5.0Junie 5, 2026
NPMsensitiwiteit: 2.5.1Junie 5, 2026
NPMsensitiwiteit: 2.5.2Junie 5, 2026
NPMsensitiwiteit: 2.5.3Junie 5, 2026
NPMsensitiwiteit: 2.5.4Junie 5, 2026
NPMsensitiwiteit: 2.5.5Junie 5, 2026
NPMsensitiwiteit: 2.5.13Junie 5, 2026
NPMsensitiwiteit: 2.5.14Junie 5, 2026
NPMsensitiwiteit: 2.5.15Junie 5, 2026
NPMsensitiwiteit: 2.5.33Junie 5, 2026
NPMsensitiwiteit: 2.5.34Junie 5, 2026
NPMsensitiwiteit: 2.5.35Junie 5, 2026
NPMsensitiwiteit: 2.5.36Junie 5, 2026
NPMsensitiwiteit: 2.5.37Junie 5, 2026
NPMsensitiwiteit: 2.5.38Junie 5, 2026
NPMsensitiwiteit: 2.5.58Junie 5, 2026
NPMsensitiwiteit: 2.5.59Junie 5, 2026
NPMsensitiwiteit: 2.5.60Junie 5, 2026
NPMsensitiwiteit: 2.5.62Junie 5, 2026
NPMsensitiwiteit: 2.5.63Junie 5, 2026
NPMsensitiwiteit: 2.5.64Junie 5, 2026
NPMsensitiwiteit: 2.5.65Junie 5, 2026
NPMsensitiwiteit: 2.5.66Junie 5, 2026
NPMsensitiwiteit: 2.5.69Junie 5, 2026


Beveilig jou oopbron-afhanklikhede teen kwesbaarhede en kwaadwillige kode

Moenie toelaat dat kwaadwillige pakkette jou bereik nie pipelines. Xygeni Vroeë Opsporing van Wanware gee jou span intydse sigbaarheid oor die bedreigings wat die belangrikste is, en vang skadelike afhanklikhede op voordat hulle ooit jou sagteware raak.

Soos hierdie week se opsomming duidelik maak, verlangsaam die volume en gesofistikeerdheid van kwaadwillige pakketveldtogte nie. Gekoördineerde weergawe-oorstromings, nabootsing van betalingsmodules en intern-klinkende pakketname is slegs 'n paar van die taktieke wat aanvallers gebruik om verby te glip. standard verdediging. Om voor te bly op hierdie bedreigings vereis meer as periodieke oudits, dit vereis deurlopende monitering oor elke register waarop jou spanne staatmaak.

Xygeni's Open Source Security Die oplossing skandeer en blokkeer skadelike pakkette by die punt van publikasie, oor npm, PyPI en verder. Deur kontekstueel die kwesbaarhede te prioritiseer wat die grootste werklike risiko inhou (en die remediëringspad vir jou DevSecOps-spanne te stroomlyn), help Xygeni jou om veilige, betroubare sagteware-lewering te handhaaf sonder om ontwikkeling te vertraag.

sca-tools-sagteware-samestelling-analise-gereedskap
Prioritiseer, herstel en beveilig jou sagtewarerisiko's
Kry jou gratis rekening.
Geen kredietkaart benodig nie.

Beveilig u sagteware-ontwikkeling en -lewering

met Xygeni-produksuite