Амаль кожны тыдзень, нашы сістэмы выяўлення шкоднасных праграм скануюць тысячы новых і абноўленых пакетаў у публічных рэестрах, такіх як npm і PyPI. Гэты тыдзень быў вельмі актыўным.
Мы пацвердзілі 198 шкоднасных пакетаў, у асноўным у npm, а таксама ў пашырэннях PyPI, OpenVSX, Composer і VS Code. Некалькі выпадкаў з'яўляліся ў скаардынаваных кластарах, прычым шкоднасныя рэлізы публікаваліся пад аднымі і тымі ж назвамі або ў цесна звязаных сямействах пакетаў. Яскравым выпадкам быў sensivity пакет, які запоўніў npm больш чым 60 версіямі рэлізаў у дыяпазоне 2.5.x. Сярод іншых прыкметных кластараў былі ai-sdk-helpers (8 версій, арыентаваных на распрацоўшчыкаў штучнага інтэлекту), @antoncallahan/aws-user-helper (7 версій, якія выдаюць сябе за ўтыліту AWS), @apple-pay-trust і @google-pay-trust сем'і (імітуючы модулі аплаты замовы), @frengki0707/google-cloud-clone (5 версій, якія падманваюць Google Cloud), і cms-storehub, cms-helpgit, і cms-github (арыентацыя на CMS pipelines). Шмат якія пакеты імітавалі модулі аплаты і афармлення замовы, enterprise і ўнутраныя вэб-пакеты, кліенты аналітыкі, асновы карыстальніцкага інтэрфейсу, утыліты для распрацоўшчыкаў, аглядальнікі кампанентаў, пакеты ў воблаку і стылі Google, а таксама іншыя модулі, якім звычайна давяраюць у сучасных працоўных працэсах распрацоўкі.
Гэта не былі асобныя анамаліі. На гэтым тыдні кідаліся ў вочы маштабы паўторных публікацый у адных і тых жа сямействах пакетаў, паўторнае выкарыстанне шаблонаў наймення і тое, як шкоднасныя пакеты маскіраваліся пад легітымныя залежнасці ўнутры рэальнай пастаўкі праграмнага забеспячэння. pipelines.
Гэты штотыднёвы агляд з'яўляецца часткай нашага пастаяннага агляду шкоднаснага кода, дзе мы правяраем новыя пагрозы і даем практычную інфармацыю, каб дапамагчы камандам DevSecOps абараніць сваіх pipelineда таго, як узнікне пашкоджанне.
Давайце разгледзім, што мы знайшлі на гэтым тыдні і чаму гэта важна.
| Экасістэма | пакет | дата |
|---|---|---|
| НПМ | @cloudplatform-single-spa/адміністраванне:99.99.100 | Можа 30, 2026 |
| НПМ | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Можа 30, 2026 |
| НПМ | @maximvs1538/os-npm:99.0.0 | Можа 30, 2026 |
| НПМ | @easy-entry/landing-routes:99.9.5 | Можа 30, 2026 |
| НПМ | @easy-entry/outside-registration-fop-navigator:99.9.5 | Можа 30, 2026 |
| НПМ | @easy-entry/маршруты:99.9.5 | Можа 30, 2026 |
| НПМ | @t-in-one/form_product_token:5.7.1 | Можа 30, 2026 |
| НПМ | @capibar.chat/ui-kit:99.5.7 | Можа 30, 2026 |
| vscode | xampp-менеджэр:5.1.3 | Можа 30, 2026 |
| НПМ | @шаблон-чату/аўтэнтыфікацыя:1.0.0 | Можа 31, 2026 |
| НПМ | схема-json-to-simple-graphql:1.0.0 | Чэрвень 1, 2026 |
| НПМ | @gs-select/savings-client-application:99.0.0 | Чэрвень 1, 2026 |
| НПМ | nemo-reporter:1.8.2 | Чэрвень 1, 2026 |
| НПМ | cms-github:4.2.4 | Чэрвень 1, 2026 |
| НПМ | cms-helpgit:4.2.6 | Чэрвень 1, 2026 |
| НПМ | cms-helpgit:4.2.8 | Чэрвень 1, 2026 |
| НПМ | cms-storehub:1.3.4 | Чэрвень 1, 2026 |
| НПМ | cms-storehub:1.3.5 | Чэрвень 1, 2026 |
| НПМ | cms-storehub:1.3.6 | Чэрвень 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Чэрвень 1, 2026 |
| НПМ | стратэгія-размяшчэння-рознічнага-гандлю-інтэрфейс:1.1.1 | Чэрвень 1, 2026 |
| НПМ | стратэгія-размяшчэння-рознічнага-гандлю-інтэрфейс:1.1.2 | Чэрвень 1, 2026 |
| НПМ | conversa-sdk:2.0.2 | Чэрвень 1, 2026 |
| НПМ | велтрыкс:9.0.0 | Чэрвень 1, 2026 |
| НПМ | велтрыкс:9.0.1 | Чэрвень 1, 2026 |
| НПМ | jingmeideshishi:1.0.4 | Чэрвень 1, 2026 |
| НПМ | jingmeideshishi:1.0.5 | Чэрвень 1, 2026 |
| НПМ | @tse-digital/core:99.0.0 | Чэрвень 1, 2026 |
| НПМ | @telenor-se/core:99.0.0 | Чэрвень 1, 2026 |
| НПМ | @ownit/core:99.0.0 | Чэрвень 1, 2026 |
| НПМ | дакументы пацыента: 75.0.0 | Чэрвень 1, 2026 |
| НПМ | @antoncallahan/aws-user-helper:6767.67.69 | Чэрвень 1, 2026 |
| НПМ | @antoncallahan/aws-user-helper:6767.67.68 | Чэрвень 1, 2026 |
| НПМ | @antoncallahan/aws-user-helper:6767.67.82 | Чэрвень 1, 2026 |
| НПМ | @antoncallahan/aws-user-helper:6767.67.80 | Чэрвень 1, 2026 |
| НПМ | @antoncallahan/aws-user-helper:6767.67.81 | Чэрвень 1, 2026 |
| НПМ | @antoncallahan/aws-user-helper:6767.67.83 | Чэрвень 1, 2026 |
| НПМ | @antoncallahan/aws-user-helper:6767.67.3 | Чэрвень 1, 2026 |
| НПМ | @emcd-vue/аўтэнтыфікацыя:6.4.9 | Чэрвень 1, 2026 |
| НПМ | @emcd-vue/b2b-pay-form:5.7.4 | Чэрвень 1, 2026 |
| НПМ | @ccrm/user-storage-api-axios:5.0.1 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.8 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.12 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.16 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.17 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.18 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.19 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.20 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.21 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.22 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.23 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.24 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.25 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.26 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.27 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.28 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.29 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.30 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.31 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.32 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.41 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.42 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.43 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.44 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.45 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.46 | Чэрвень 2, 2026 |
| НПМ | meoo-ui-helpers:1.0.1 | Чэрвень 2, 2026 |
| НПМ | @langgraphjs/інструменты:1.2.10 | Чэрвень 2, 2026 |
| НПМ | eyevox:9.0.1 | Чэрвень 2, 2026 |
| НПМ | адчувальнасць: 2.5.53 | Чэрвень 3, 2026 |
| НПМ | адчувальнасць: 2.5.54 | Чэрвень 3, 2026 |
| НПМ | адчувальнасць: 2.5.55 | Чэрвень 3, 2026 |
| НПМ | адчувальнасць: 2.5.56 | Чэрвень 3, 2026 |
| НПМ | адчувальнасць: 2.5.57 | Чэрвень 3, 2026 |
| НПМ | адчувальнасць: 2.5.61 | Чэрвень 3, 2026 |
| НПМ | @sentry-browser-sdk/profiling-node:1.0.1 | Чэрвень 4, 2026 |
| НПМ | @sentry-browser-sdk/profiling-node:1.0.2 | Чэрвень 4, 2026 |
| НПМ | @sentry-browser-sdk/profiling-node:1.0.5 | Чэрвень 4, 2026 |
| НПМ | служба збору сродкаў: 1.0.0 | Чэрвень 4, 2026 |
| НПМ | адчувальнасць: 2.5.67 | Чэрвень 4, 2026 |
| НПМ | адчувальнасць: 2.5.68 | Чэрвень 4, 2026 |
| НПМ | vg-мадэль-узаемадзеяння:40.0.5 | Чэрвень 4, 2026 |
| НПМ | internallib_v346:1.0.3 | Чэрвень 4, 2026 |
| НПМ | internallib_v346:1.0.5 | Чэрвень 4, 2026 |
| НПМ | internallib_v346:1.0.9 | Чэрвень 4, 2026 |
| НПМ | ai-sdk-helpers:0.2.1 | Чэрвень 4, 2026 |
| НПМ | ai-sdk-helpers:0.3.0 | Чэрвень 4, 2026 |
| НПМ | ai-sdk-helpers:0.3.1 | Чэрвень 4, 2026 |
| НПМ | ai-sdk-helpers:1.1.0 | Чэрвень 4, 2026 |
| НПМ | ai-sdk-helpers:1.1.1 | Чэрвень 4, 2026 |
| НПМ | ai-sdk-helpers:1.3.0 | Чэрвень 4, 2026 |
| НПМ | ai-sdk-helpers:1.4.0 | Чэрвень 4, 2026 |
| НПМ | ai-sdk-helpers:1.4.2 | Чэрвень 4, 2026 |
| НПМ | @achuthvp/postinstall-poc:1.0.3 | Чэрвень 4, 2026 |
| НПМ | адчувальнасць: 2.5.0 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.1 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.2 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.3 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.4 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.5 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.13 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.14 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.15 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.33 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.34 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.35 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.36 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.37 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.38 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.58 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.59 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.60 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.62 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.63 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.64 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.65 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.66 | Чэрвень 5, 2026 |
| НПМ | адчувальнасць: 2.5.69 | Чэрвень 5, 2026 |
Абараніце свае залежнасці ад адкрытага зыходнага кода ад уразлівасцей і шкоднаснага кода
Не дапускайце траплення шкоднасных пакетаў у ваш pipelines. Ранняе выяўленне шкоднасных праграм Xygeni дае вашай камандзе магчымасць бачыць найбольш важныя пагрозы ў рэжыме рэальнага часу, выяўляючы шкодныя залежнасці, перш чым яны закрануць ваша праграмнае забеспячэнне.
Як вынікае з агляду гэтага тыдня, аб'ём і складанасць кампаній па распаўсюджванні шкоднасных пакетаў не змяншаюцца. Скаардынаванае распаўсюджванне версій, імітацыя плацежных модуляў і назвы пакетаў, якія гучаць па-іншаму, — гэта толькі некаторыя з тактык, якія выкарыстоўваюць зламыснікі, каб праслізнуць міма. standard абароны. Каб апярэдзіць гэтыя пагрозы, патрабуецца не толькі перыядычны аўдыт, але і пастаянны маніторынг кожнага рэестра, ад якога залежаць вашы каманды.
Ксігені Open Source Security Рашэнне скануе і блакуе шкодныя пакеты ў момант публікацыі, у npm, PyPI і іншых тэхналогіях. Дзякуючы кантэкстуальнаму прыярытэтызаванню ўразлівасцей, якія ўяўляюць найбольшую рэальную рызыку (і аптымізацыі шляху выпраўлення для вашых каманд DevSecOps), Xygeni дапамагае вам падтрымліваць бяспечную і надзейную дастаўку праграмнага забеспячэння, не запавольваючы распрацоўку.




