Зборнік шкоднаснага кода 73

Дайджэст шкоднаснага кода Xygeni 73

Амаль кожны тыдзень, нашы сістэмы выяўлення шкоднасных праграм скануюць тысячы новых і абноўленых пакетаў у публічных рэестрах, такіх як npm і PyPI. Гэты тыдзень быў вельмі актыўным.

Мы пацвердзілі 198 шкоднасных пакетаў, у асноўным у npm, а таксама ў пашырэннях PyPI, OpenVSX, Composer і VS Code. Некалькі выпадкаў з'яўляліся ў скаардынаваных кластарах, прычым шкоднасныя рэлізы публікаваліся пад аднымі і тымі ж назвамі або ў цесна звязаных сямействах пакетаў. Яскравым выпадкам быў sensivity пакет, які запоўніў npm больш чым 60 версіямі рэлізаў у дыяпазоне 2.5.x. Сярод іншых прыкметных кластараў былі ai-sdk-helpers (8 версій, арыентаваных на распрацоўшчыкаў штучнага інтэлекту), @antoncallahan/aws-user-helper (7 версій, якія выдаюць сябе за ўтыліту AWS), @apple-pay-trust і @google-pay-trust сем'і (імітуючы модулі аплаты замовы), @frengki0707/google-cloud-clone (5 версій, якія падманваюць Google Cloud), і cms-storehub, cms-helpgit, і cms-github (арыентацыя на CMS pipelines). Шмат якія пакеты імітавалі модулі аплаты і афармлення замовы, enterprise і ўнутраныя вэб-пакеты, кліенты аналітыкі, асновы карыстальніцкага інтэрфейсу, утыліты для распрацоўшчыкаў, аглядальнікі кампанентаў, пакеты ў воблаку і стылі Google, а таксама іншыя модулі, якім звычайна давяраюць у сучасных працоўных працэсах распрацоўкі.

Гэта не былі асобныя анамаліі. На гэтым тыдні кідаліся ў вочы маштабы паўторных публікацый у адных і тых жа сямействах пакетаў, паўторнае выкарыстанне шаблонаў наймення і тое, як шкоднасныя пакеты маскіраваліся пад легітымныя залежнасці ўнутры рэальнай пастаўкі праграмнага забеспячэння. pipelines.

Гэты штотыднёвы агляд з'яўляецца часткай нашага пастаяннага агляду шкоднаснага кода, дзе мы правяраем новыя пагрозы і даем практычную інфармацыю, каб дапамагчы камандам DevSecOps абараніць сваіх pipelineда таго, як узнікне пашкоджанне.

Давайце разгледзім, што мы знайшлі на гэтым тыдні і чаму гэта важна.

Пацверджаныя шкоднасныя пакеты
Экасістэма пакет дата
НПМ@cloudplatform-single-spa/адміністраванне:99.99.100Можа 30, 2026
НПМ@cloudplatform-single-spa/svp-s3-storage:99.99.100Можа 30, 2026
НПМ@maximvs1538/os-npm:99.0.0Можа 30, 2026
НПМ@easy-entry/landing-routes:99.9.5Можа 30, 2026
НПМ@easy-entry/outside-registration-fop-navigator:99.9.5Можа 30, 2026
НПМ@easy-entry/маршруты:99.9.5Можа 30, 2026
НПМ@t-in-one/form_product_token:5.7.1Можа 30, 2026
НПМ@capibar.chat/ui-kit:99.5.7Можа 30, 2026
vscodexampp-менеджэр:5.1.3Можа 30, 2026
НПМ@шаблон-чату/аўтэнтыфікацыя:1.0.0Можа 31, 2026
НПМсхема-json-to-simple-graphql:1.0.0Чэрвень 1, 2026
НПМ@gs-select/savings-client-application:99.0.0Чэрвень 1, 2026
НПМnemo-reporter:1.8.2Чэрвень 1, 2026
НПМcms-github:4.2.4Чэрвень 1, 2026
НПМcms-helpgit:4.2.6Чэрвень 1, 2026
НПМcms-helpgit:4.2.8Чэрвень 1, 2026
НПМcms-storehub:1.3.4Чэрвень 1, 2026
НПМcms-storehub:1.3.5Чэрвень 1, 2026
НПМcms-storehub:1.3.6Чэрвень 1, 2026
pypisimtooreal-cli:0.3.0Чэрвень 1, 2026
НПМстратэгія-размяшчэння-рознічнага-гандлю-інтэрфейс:1.1.1Чэрвень 1, 2026
НПМстратэгія-размяшчэння-рознічнага-гандлю-інтэрфейс:1.1.2Чэрвень 1, 2026
НПМconversa-sdk:2.0.2Чэрвень 1, 2026
НПМвелтрыкс:9.0.0Чэрвень 1, 2026
НПМвелтрыкс:9.0.1Чэрвень 1, 2026
НПМjingmeideshishi:1.0.4Чэрвень 1, 2026
НПМjingmeideshishi:1.0.5Чэрвень 1, 2026
НПМ@tse-digital/core:99.0.0Чэрвень 1, 2026
НПМ@telenor-se/core:99.0.0Чэрвень 1, 2026
НПМ@ownit/core:99.0.0Чэрвень 1, 2026
НПМдакументы пацыента: 75.0.0Чэрвень 1, 2026
НПМ@antoncallahan/aws-user-helper:6767.67.69Чэрвень 1, 2026
НПМ@antoncallahan/aws-user-helper:6767.67.68Чэрвень 1, 2026
НПМ@antoncallahan/aws-user-helper:6767.67.82Чэрвень 1, 2026
НПМ@antoncallahan/aws-user-helper:6767.67.80Чэрвень 1, 2026
НПМ@antoncallahan/aws-user-helper:6767.67.81Чэрвень 1, 2026
НПМ@antoncallahan/aws-user-helper:6767.67.83Чэрвень 1, 2026
НПМ@antoncallahan/aws-user-helper:6767.67.3Чэрвень 1, 2026
НПМ@emcd-vue/аўтэнтыфікацыя:6.4.9Чэрвень 1, 2026
НПМ@emcd-vue/b2b-pay-form:5.7.4Чэрвень 1, 2026
НПМ@ccrm/user-storage-api-axios:5.0.1Чэрвень 2, 2026
НПМадчувальнасць: 2.5.8Чэрвень 2, 2026
НПМадчувальнасць: 2.5.12Чэрвень 2, 2026
НПМадчувальнасць: 2.5.16Чэрвень 2, 2026
НПМадчувальнасць: 2.5.17Чэрвень 2, 2026
НПМадчувальнасць: 2.5.18Чэрвень 2, 2026
НПМадчувальнасць: 2.5.19Чэрвень 2, 2026
НПМадчувальнасць: 2.5.20Чэрвень 2, 2026
НПМадчувальнасць: 2.5.21Чэрвень 2, 2026
НПМадчувальнасць: 2.5.22Чэрвень 2, 2026
НПМадчувальнасць: 2.5.23Чэрвень 2, 2026
НПМадчувальнасць: 2.5.24Чэрвень 2, 2026
НПМадчувальнасць: 2.5.25Чэрвень 2, 2026
НПМадчувальнасць: 2.5.26Чэрвень 2, 2026
НПМадчувальнасць: 2.5.27Чэрвень 2, 2026
НПМадчувальнасць: 2.5.28Чэрвень 2, 2026
НПМадчувальнасць: 2.5.29Чэрвень 2, 2026
НПМадчувальнасць: 2.5.30Чэрвень 2, 2026
НПМадчувальнасць: 2.5.31Чэрвень 2, 2026
НПМадчувальнасць: 2.5.32Чэрвень 2, 2026
НПМадчувальнасць: 2.5.41Чэрвень 2, 2026
НПМадчувальнасць: 2.5.42Чэрвень 2, 2026
НПМадчувальнасць: 2.5.43Чэрвень 2, 2026
НПМадчувальнасць: 2.5.44Чэрвень 2, 2026
НПМадчувальнасць: 2.5.45Чэрвень 2, 2026
НПМадчувальнасць: 2.5.46Чэрвень 2, 2026
НПМmeoo-ui-helpers:1.0.1Чэрвень 2, 2026
НПМ@langgraphjs/інструменты:1.2.10Чэрвень 2, 2026
НПМeyevox:9.0.1Чэрвень 2, 2026
НПМадчувальнасць: 2.5.53Чэрвень 3, 2026
НПМадчувальнасць: 2.5.54Чэрвень 3, 2026
НПМадчувальнасць: 2.5.55Чэрвень 3, 2026
НПМадчувальнасць: 2.5.56Чэрвень 3, 2026
НПМадчувальнасць: 2.5.57Чэрвень 3, 2026
НПМадчувальнасць: 2.5.61Чэрвень 3, 2026
НПМ@sentry-browser-sdk/profiling-node:1.0.1Чэрвень 4, 2026
НПМ@sentry-browser-sdk/profiling-node:1.0.2Чэрвень 4, 2026
НПМ@sentry-browser-sdk/profiling-node:1.0.5Чэрвень 4, 2026
НПМслужба збору сродкаў: 1.0.0Чэрвень 4, 2026
НПМадчувальнасць: 2.5.67Чэрвень 4, 2026
НПМадчувальнасць: 2.5.68Чэрвень 4, 2026
НПМvg-мадэль-узаемадзеяння:40.0.5Чэрвень 4, 2026
НПМinternallib_v346:1.0.3Чэрвень 4, 2026
НПМinternallib_v346:1.0.5Чэрвень 4, 2026
НПМinternallib_v346:1.0.9Чэрвень 4, 2026
НПМai-sdk-helpers:0.2.1Чэрвень 4, 2026
НПМai-sdk-helpers:0.3.0Чэрвень 4, 2026
НПМai-sdk-helpers:0.3.1Чэрвень 4, 2026
НПМai-sdk-helpers:1.1.0Чэрвень 4, 2026
НПМai-sdk-helpers:1.1.1Чэрвень 4, 2026
НПМai-sdk-helpers:1.3.0Чэрвень 4, 2026
НПМai-sdk-helpers:1.4.0Чэрвень 4, 2026
НПМai-sdk-helpers:1.4.2Чэрвень 4, 2026
НПМ@achuthvp/postinstall-poc:1.0.3Чэрвень 4, 2026
НПМадчувальнасць: 2.5.0Чэрвень 5, 2026
НПМадчувальнасць: 2.5.1Чэрвень 5, 2026
НПМадчувальнасць: 2.5.2Чэрвень 5, 2026
НПМадчувальнасць: 2.5.3Чэрвень 5, 2026
НПМадчувальнасць: 2.5.4Чэрвень 5, 2026
НПМадчувальнасць: 2.5.5Чэрвень 5, 2026
НПМадчувальнасць: 2.5.13Чэрвень 5, 2026
НПМадчувальнасць: 2.5.14Чэрвень 5, 2026
НПМадчувальнасць: 2.5.15Чэрвень 5, 2026
НПМадчувальнасць: 2.5.33Чэрвень 5, 2026
НПМадчувальнасць: 2.5.34Чэрвень 5, 2026
НПМадчувальнасць: 2.5.35Чэрвень 5, 2026
НПМадчувальнасць: 2.5.36Чэрвень 5, 2026
НПМадчувальнасць: 2.5.37Чэрвень 5, 2026
НПМадчувальнасць: 2.5.38Чэрвень 5, 2026
НПМадчувальнасць: 2.5.58Чэрвень 5, 2026
НПМадчувальнасць: 2.5.59Чэрвень 5, 2026
НПМадчувальнасць: 2.5.60Чэрвень 5, 2026
НПМадчувальнасць: 2.5.62Чэрвень 5, 2026
НПМадчувальнасць: 2.5.63Чэрвень 5, 2026
НПМадчувальнасць: 2.5.64Чэрвень 5, 2026
НПМадчувальнасць: 2.5.65Чэрвень 5, 2026
НПМадчувальнасць: 2.5.66Чэрвень 5, 2026
НПМадчувальнасць: 2.5.69Чэрвень 5, 2026


Абараніце свае залежнасці ад адкрытага зыходнага кода ад уразлівасцей і шкоднаснага кода

Не дапускайце траплення шкоднасных пакетаў у ваш pipelines. Ранняе выяўленне шкоднасных праграм Xygeni дае вашай камандзе магчымасць бачыць найбольш важныя пагрозы ў рэжыме рэальнага часу, выяўляючы шкодныя залежнасці, перш чым яны закрануць ваша праграмнае забеспячэнне.

Як вынікае з агляду гэтага тыдня, аб'ём і складанасць кампаній па распаўсюджванні шкоднасных пакетаў не змяншаюцца. Скаардынаванае распаўсюджванне версій, імітацыя плацежных модуляў і назвы пакетаў, якія гучаць па-іншаму, — гэта толькі некаторыя з тактык, якія выкарыстоўваюць зламыснікі, каб праслізнуць міма. standard абароны. Каб апярэдзіць гэтыя пагрозы, патрабуецца не толькі перыядычны аўдыт, але і пастаянны маніторынг кожнага рэестра, ад якога залежаць вашы каманды.

Ксігені Open Source Security Рашэнне скануе і блакуе шкодныя пакеты ў момант публікацыі, у npm, PyPI і іншых тэхналогіях. Дзякуючы кантэкстуальнаму прыярытэтызаванню ўразлівасцей, якія ўяўляюць найбольшую рэальную рызыку (і аптымізацыі шляху выпраўлення для вашых каманд DevSecOps), Xygeni дапамагае вам падтрымліваць бяспечную і надзейную дастаўку праграмнага забеспячэння, не запавольваючы распрацоўку.

інструменты-для-аналізу-складання-праграмнага ...
Прыярытэзуйце, ліквідуйце і абараняйце свае праграмныя рызыкі
Атрымайце свой бясплатны рахунак.
Не патрабуецца крэдытная карта.

Забяспечце распрацоўку і пастаўку праграмнага забеспячэння

з пакетам прадуктаў Xygeni