كل أسبوع تقريباًتقوم أنظمة الكشف عن البرامج الضارة لدينا بفحص آلاف الحزم الجديدة والمحدثة عبر سجلات عامة مثل npm وPyPI. كان هذا الأسبوع حافلاً بالنشاط.
لقد أكدنا 198 حزمة ضارةانتشرت هذه الهجمات بشكل رئيسي عبر منصة npm، مع حالات إضافية في PyPI وOpenVSX وComposer وامتدادات VS Code. ظهرت العديد منها في مجموعات منسقة، مع إصدارات خبيثة متكررة نُشرت تحت نفس الأسماء أو عبر عائلات حزم مترابطة بشكل وثيق. وكانت إحدى الحالات البارزة هي... sensivity حزمةٌ أغرقت npm بأكثر من 60 إصدارًا مرقّمًا عبر نطاق 2.5.x. وشملت المجموعات البارزة الأخرى ما يلي: ai-sdk-helpers (8 إصدارات تستهدف مطوري الذكاء الاصطناعي)، @antoncallahan/aws-user-helper (7 إصدارات تنتحل شخصية أداة مساعدة من AWS)، @apple-pay-trust و @google-pay-trust العائلات (محاكاة وحدات الدفع الإلكتروني)، @frengki0707/google-cloud-clone (خمس نسخ تنتحل صفة جوجل كلاود)، و cms-storehub, cms-helpgitو cms-github (استهداف نظام إدارة المحتوى) pipeline(س). قامت العديد من الحزم بتقليد وحدات الدفع والخروج، enterprise وحزم الويب الداخلية، وعملاء التحليلات، وأساسيات واجهة المستخدم، وأدوات المطورين، ومستكشفات المكونات، والحزم السحابية وحزم جوجل، ووحدات أخرى موثوقة بشكل شائع في سير العمل التطويري الحديث.
لم تكن هذه حالات شاذة معزولة. ما برز هذا الأسبوع هو حجم النشر المتكرر عبر نفس مجموعات الحزم، وإعادة استخدام أنماط التسمية، والطريقة التي تم بها إخفاء الحزم الخبيثة لتبدو وكأنها تبعيات شرعية داخل عملية تسليم البرامج الحقيقية. pipelines.
تُعدّ هذه النظرة الأسبوعية الموجزة جزءًا من تقريرنا المستمر حول البرمجيات الخبيثة، حيث نتحقق من صحة التهديدات الجديدة ونقدم معلومات استخبارية قابلة للتنفيذ لمساعدة فرق DevSecOps على حماية أنظمتها. pipelineقبل حدوث الضرر.
دعونا نلقي نظرة على ما وجدناه هذا الأسبوع ولماذا هو مهم.
| النظام الإيكولوجي | فئة الإشتراك | التاريخ |
|---|---|---|
| الآلية الوقائية الوطنية | @cloudplatform-single-spa/administration:99.99.100 | 30 أيار 2026 |
| الآلية الوقائية الوطنية | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 أيار 2026 |
| الآلية الوقائية الوطنية | @maximvs1538/os-npm:99.0.0 | 30 أيار 2026 |
| الآلية الوقائية الوطنية | @easy-entry/landing-routes:99.9.5 | 30 أيار 2026 |
| الآلية الوقائية الوطنية | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30 أيار 2026 |
| الآلية الوقائية الوطنية | @easy-entry/routes:99.9.5 | 30 أيار 2026 |
| الآلية الوقائية الوطنية | @t-in-one/form_product_token:5.7.1 | 30 أيار 2026 |
| الآلية الوقائية الوطنية | @capibar.chat/ui-kit:99.5.7 | 30 أيار 2026 |
| vscode | xampp-manager:5.1.3 | 30 أيار 2026 |
| الآلية الوقائية الوطنية | @chat-template/auth:1.0.0 | 31 أيار 2026 |
| الآلية الوقائية الوطنية | json-to-simple-graphql-schema:1.0.0 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @gs-select/savings-client-application:99.0.0 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | nemo-reporter:1.8.2 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | cms-github:4.2.4 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | cms-helpgit:4.2.6 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | cms-helpgit:4.2.8 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | cms-storehub:1.3.4 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | cms-storehub:1.3.5 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | cms-storehub:1.3.6 | يونيو 1، 2026 |
| بايبي | simtooreal-cli:0.3.0 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | استراتيجية موقع البيع بالتجزئة - الواجهة الأمامية: 1.1.1 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | استراتيجية موقع البيع بالتجزئة - الواجهة الأمامية: 1.1.2 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | conversa-sdk:2.0.2 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | فيلتريكس: 9.0.0 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | فيلتريكس: 9.0.1 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | جينغميديشيشي:1.0.4 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | جينغميديشيشي:1.0.5 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @tse-digital/core:99.0.0 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @telenor-se/core:99.0.0 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @ownit/core:99.0.0 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | مستندات المريض: 75.0.0 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @antoncallahan/aws-user-helper:6767.67.69 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @antoncallahan/aws-user-helper:6767.67.68 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @antoncallahan/aws-user-helper:6767.67.82 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @antoncallahan/aws-user-helper:6767.67.80 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @antoncallahan/aws-user-helper:6767.67.81 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @antoncallahan/aws-user-helper:6767.67.83 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @antoncallahan/aws-user-helper:6767.67.3 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @emcd-vue/auth:6.4.9 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @emcd-vue/b2b-pay-form:5.7.4 | يونيو 1، 2026 |
| الآلية الوقائية الوطنية | @ccrm/user-storage-api-axios:5.0.1 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.8 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.12 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.16 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.17 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.18 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.19 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.20 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.21 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.22 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.23 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.24 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.25 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.26 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.27 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.28 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.29 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.30 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.31 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.32 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.41 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.42 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.43 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.44 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.45 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.46 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | meoo-ui-helpers:1.0.1 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | @langgraphjs/toolkit:1.2.10 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | eyevox:9.0.1 | يونيو 2، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.53 | يونيو 3، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.54 | يونيو 3، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.55 | يونيو 3، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.56 | يونيو 3، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.57 | يونيو 3، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.61 | يونيو 3، 2026 |
| الآلية الوقائية الوطنية | @sentry-browser-sdk/profiling-node:1.0.1 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | @sentry-browser-sdk/profiling-node:1.0.2 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | @sentry-browser-sdk/profiling-node:1.0.5 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | fundraiserserv:1.0.0 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.67 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.68 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | vg-interaction-model:40.0.5 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | internallib_v346:1.0.3 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | internallib_v346:1.0.5 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | internallib_v346:1.0.9 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | ai-sdk-helpers:0.2.1 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | ai-sdk-helpers:0.3.0 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | ai-sdk-helpers:0.3.1 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | ai-sdk-helpers:1.1.0 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | ai-sdk-helpers:1.1.1 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | ai-sdk-helpers:1.3.0 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | ai-sdk-helpers:1.4.0 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | ai-sdk-helpers:1.4.2 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | @achuthvp/postinstall-poc:1.0.3 | يونيو 4، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.0 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.1 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.2 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.3 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.4 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.5 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.13 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.14 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.15 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.33 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.34 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.35 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.36 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.37 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.38 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.58 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.59 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.60 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.62 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.63 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.64 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.65 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.66 | يونيو 5، 2026 |
| الآلية الوقائية الوطنية | الحساسية: 2.5.69 | يونيو 5، 2026 |
قم بتأمين تبعياتك مفتوحة المصدر ضد الثغرات الأمنية والتعليمات البرمجية الضارة
لا تدع البرامج الضارة تصل إليك pipelines. Xygeni الكشف المبكر عن البرامج الضارة يمنح فريقك رؤية فورية للتهديدات الأكثر أهمية، ويكشف عن التبعيات الضارة قبل أن تؤثر على برنامجك.
كما يتضح من ملخص هذا الأسبوع، فإن حجم وتطور حملات الحزم الخبيثة لا يزالان مستمرين. فإغراق النظام بإصدارات البرامج، وانتحال هوية وحدة الدفع، واستخدام أسماء حزم تبدو وكأنها من داخل النظام، ليست سوى بعض التكتيكات التي يستخدمها المهاجمون للتسلل. standard الدفاعات. يتطلب البقاء متقدماً على هذه التهديدات أكثر من مجرد عمليات تدقيق دورية، بل يتطلب مراقبة مستمرة عبر كل سجل تعتمد عليه فرقك.
زيجيني Open Source Security يقوم الحل بفحص وحظر الحزم الضارة عند نقطة النشر، عبر منصات مثل npm وPyPI وغيرها. من خلال تحديد أولويات الثغرات الأمنية التي تشكل أكبر خطر في الواقع العملي (وتبسيط مسار المعالجة لفرق DevSecOps)، يساعدك Xygeni في الحفاظ على تسليم برامج آمنة وموثوقة دون إبطاء عملية التطوير.




