Demək olar ki, hər həftə, zərərli proqram aşkarlama sistemlərimiz npm və PyPI kimi ictimai reyestrlərdə minlərlə yeni və yenilənmiş paketi skan edir. Bu həftə çox aktiv keçdi.
Biz təsdiq etdik 198 zərərli paket, əsasən npm üzərində, əlavə hallar PyPI, OpenVSX, Composer və VS Code genişləndirmələrində mövcuddur. Bir neçəsi koordinasiyalı klasterlərdə meydana çıxdı, təkrarlanan zərərli buraxılışlar eyni adlar altında və ya yaxından əlaqəli paket ailələri arasında dərc edildi. Ən diqqətəlayiq hallardan biri də bu idi sensivity paket, 2.5.x diapazonunda 60-dan çox versiyalı buraxılışla npm-i doldurdu. Digər diqqətəlayiq klasterlər də daxil idi ai-sdk-helpers (Süni intellekt inkişaf etdiricilərini hədəf alan 8 versiya), @antoncallahan/aws-user-helper (AWS yardım proqramını təqlid edən 7 versiya), @apple-pay-trust və @google-pay-trust ailələr (ödəniş kassa modullarını təqlid edir), @frengki0707/google-cloud-clone (Google Cloud-u saxtalaşdıran 5 versiya) və cms-storehub, cms-helpgitvə cms-github (CMS-i hədəfləmək pipelines). Bir çox paket ödəniş və kassa modullarını təqlid edirdi, enterprise və daxili veb paketlər, analitik müştərilər, UI təməlləri, geliştirici yardımçı proqramları, komponent tədqiqatçıları, bulud və Google temalı paketlər və müasir inkişaf iş axınlarında ümumiyyətlə etibar edilən digər modullar.
Bunlar təcrid olunmuş anomaliyalar deyildi. Bu həftə diqqət çəkən məqam eyni paket ailələri arasında təkrar nəşrlərin miqyası, adlandırma nümunələrinin təkrar istifadəsi və zərərli paketlərin real proqram təminatı daxilində qanuni asılılıqlar kimi görünməsi idi. pipelines.
Bu həftəlik anlıq görüntü, yeni təhdidləri təsdiqlədiyimiz və DevSecOps komandalarına özlərini qorumağa kömək etmək üçün praktik kəşfiyyat məlumatları təqdim etdiyimiz davam edən Zərərli Kod Xülasəmizin bir hissəsidir. pipelinezərər baş verməzdən əvvəl.
Gəlin bu həftə nələri aşkarladığımızı və bunun nə üçün vacib olduğunu təhlil edək.
| Ekosistem | Paketi | tarix |
|---|---|---|
| npm | @cloudplatform-single-spa/administrasiya:99.99.100 | 30 May 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 May 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | 30 May 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | 30 May 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30 May 2026 |
| npm | @easy-entry/marşrutlar:99.9.5 | 30 May 2026 |
| npm | @t-in-one/form_məhsul_token:5.7.1 | 30 May 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | 30 May 2026 |
| vscode | xampp-meneceri: 5.1.3 | 30 May 2026 |
| npm | @chat-şablonu/auth:1.0.0 | 31 May 2026 |
| npm | json-dan-simple-graphql-schema-ya:1.0.0 | Jun 1, 2026 |
| npm | @gs-select/əmanət-müştəri-tətbiqi:99.0.0 | Jun 1, 2026 |
| npm | nemo-reportyor:1.8.2 | Jun 1, 2026 |
| npm | cms-github:4.2.4 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.6 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.8 | Jun 1, 2026 |
| npm | cms-mağazası:1.3.4 | Jun 1, 2026 |
| npm | cms-mağazası:1.3.5 | Jun 1, 2026 |
| npm | cms-mağazası:1.3.6 | Jun 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Jun 1, 2026 |
| npm | pərakəndə satış-yer-strategiya-ön tərəf: 1.1.1 | Jun 1, 2026 |
| npm | pərakəndə satış-yer-strategiya-ön tərəf: 1.1.2 | Jun 1, 2026 |
| npm | conversa-sdk:2.0.2 | Jun 1, 2026 |
| npm | veltrix:9.0.0 | Jun 1, 2026 |
| npm | veltrix:9.0.1 | Jun 1, 2026 |
| npm | jingmeideshishi: 1.0.4 | Jun 1, 2026 |
| npm | jingmeideshishi: 1.0.5 | Jun 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Jun 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Jun 1, 2026 |
| npm | @ownit/core:99.0.0 | Jun 1, 2026 |
| npm | xəstə sənədləri: 75.0.0 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Jun 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Jun 1, 2026 |
| npm | @emcd-vue/b2b-ödəniş forması:5.7.4 | Jun 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.8 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.12 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.16 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.17 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.18 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.19 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.20 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.21 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.22 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.23 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.24 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.25 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.26 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.27 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.28 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.29 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.30 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.31 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.32 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.41 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.42 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.43 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.44 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.45 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.46 | Jun 2, 2026 |
| npm | meoo-ui-köməkçiləri:1.0.1 | Jun 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Jun 2, 2026 |
| npm | yevox:9.0.1 | Jun 2, 2026 |
| npm | həssaslıq: 2.5.53 | Jun 3, 2026 |
| npm | həssaslıq: 2.5.54 | Jun 3, 2026 |
| npm | həssaslıq: 2.5.55 | Jun 3, 2026 |
| npm | həssaslıq: 2.5.56 | Jun 3, 2026 |
| npm | həssaslıq: 2.5.57 | Jun 3, 2026 |
| npm | həssaslıq: 2.5.61 | Jun 3, 2026 |
| npm | @sentry-brauzer-sdk/profilinq-düyün:1.0.1 | Jun 4, 2026 |
| npm | @sentry-brauzer-sdk/profilinq-düyün:1.0.2 | Jun 4, 2026 |
| npm | @sentry-brauzer-sdk/profilinq-düyün:1.0.5 | Jun 4, 2026 |
| npm | ianə toplama xidməti:1.0.0 | Jun 4, 2026 |
| npm | həssaslıq: 2.5.67 | Jun 4, 2026 |
| npm | həssaslıq: 2.5.68 | Jun 4, 2026 |
| npm | vg-qarşılıqlı təsir modeli: 40.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.3 | Jun 4, 2026 |
| npm | internallib_v346:1.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.9 | Jun 4, 2026 |
| npm | ai-sdk-köməkçiləri:0.2.1 | Jun 4, 2026 |
| npm | ai-sdk-köməkçiləri:0.3.0 | Jun 4, 2026 |
| npm | ai-sdk-köməkçiləri:0.3.1 | Jun 4, 2026 |
| npm | ai-sdk-köməkçiləri:1.1.0 | Jun 4, 2026 |
| npm | ai-sdk-köməkçiləri:1.1.1 | Jun 4, 2026 |
| npm | ai-sdk-köməkçiləri:1.3.0 | Jun 4, 2026 |
| npm | ai-sdk-köməkçiləri:1.4.0 | Jun 4, 2026 |
| npm | ai-sdk-köməkçiləri:1.4.2 | Jun 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Jun 4, 2026 |
| npm | həssaslıq: 2.5.0 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.1 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.2 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.3 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.4 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.5 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.13 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.14 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.15 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.33 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.34 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.35 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.36 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.37 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.38 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.58 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.59 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.60 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.62 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.63 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.64 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.65 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.66 | Jun 5, 2026 |
| npm | həssaslıq: 2.5.69 | Jun 5, 2026 |
Açıq Mənbə Asılılıqlarınızı Zəifliklərə və Zərərli Koda Qarşı Təhlükəsizləşdirin
Zərərli paketlərin sizin əlinizə çatmasına icazə verməyin pipelines. Xygeni Erkən Zərərli Proqram Aşkarlanması zərərli asılılıqları proqram təminatınıza toxunmazdan əvvəl aşkar edərək, komandanıza ən vacib olan təhdidləri real vaxt rejimində görmək imkanı verir.
Bu həftənin xülasəsində də aydın olduğu kimi, zərərli paket kampaniyalarının həcmi və mürəkkəbliyi yavaşlamır. Koordinasiyalı versiya axını, ödəniş modulunun təqlidi və daxili səslənən paket adları hücumçuların yayınmaq üçün istifadə etdikləri taktikalardan yalnız bir neçəsidir. standard müdafiə. Bu təhdidlərdən qabaqda qalmaq üçün dövri auditlərdən daha çox şey tələb olunur, bu, komandalarınızın etibar etdiyi hər bir qeydiyyat reyestri üzrə davamlı monitorinq tələb edir.
Xygeni's Open Source Security Həll yolu zərərli paketləri dərc olunma anında, npm, PyPI və digər platformalarda skan edir və bloklayır. Ən böyük real dünya riskini yaradan zəiflikləri kontekstual olaraq prioritetləşdirməklə (və DevSecOps komandalarınız üçün bərpa yolunu sadələşdirməklə) Xygeni, inkişafı ləngitmədən təhlükəsiz və etibarlı proqram təminatının çatdırılmasını təmin etməyə kömək edir.




