Почти всяка седмица, нашите системи за откриване на зловреден софтуер сканират хиляди нови и актуализирани пакети в публични регистри като npm и PyPI. Тази седмица беше много активна.
Ние потвърдихме 198 злонамерени пакета, предимно в npm, с допълнителни случаи в разширенията на PyPI, OpenVSX, Composer и VS Code. Няколко се появиха в координирани клъстери, с повтарящи се злонамерени издания, публикувани под едни и същи имена или в тясно свързани семейства пакети. Открояващ се случай беше sensivity пакет, който наводни npm с над 60 версии в диапазона 2.5.x. Други забележителни клъстери включват ai-sdk-helpers (8 версии, насочени към разработчици на изкуствен интелект), @antoncallahan/aws-user-helper (7 версии, представящи се за AWS помощна програма), @apple-pay-trust намлява @google-pay-trust семейства (имитиращи модули за плащане и касови услуги), @frengki0707/google-cloud-clone (5 версии, имитиращи Google Cloud), и cms-storehub, cms-helpgit, и cms-github (насочени към CMS) pipelines). Много пакети имитираха модули за плащане и касови услуги, enterprise и вътрешни уеб пакети, клиенти за анализи, основи на потребителския интерфейс, помощни програми за разработчици, инструменти за преглед на компоненти, пакети с облачна и Google тематика и други модули, на които обикновено се доверяват съвременните работни процеси за разработка.
Това не бяха изолирани аномалии. Това, което се открои тази седмица, беше мащабът на многократното публикуване в едни и същи семейства пакети, повторното използване на модели на именуване и начинът, по който злонамерените пакети бяха маскирани, за да изглеждат като легитимни зависимости в рамките на реална софтуерна доставка. pipelines.
Тази седмична снимка е част от нашия текущ преглед на зловреден код, където валидираме нови заплахи и предоставяме практическа информация, за да помогнем на екипите на DevSecOps да защитят своите pipelineпреди да възникнат повреди.
Нека разгледаме какво открихме тази седмица и защо е важно.
| Екосистема | Пакет | Дата |
|---|---|---|
| NPM | @cloudplatform-single-spa/администриране:99.99.100 | Май 30, 2026 |
| NPM | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Май 30, 2026 |
| NPM | @maximvs1538/os-npm:99.0.0 | Май 30, 2026 |
| NPM | @easy-entry/landing-routes:99.9.5 | Май 30, 2026 |
| NPM | @easy-entry/outside-registration-fop-navigator:99.9.5 | Май 30, 2026 |
| NPM | @easy-entry/routes:99.9.5 | Май 30, 2026 |
| NPM | @t-in-one/form_product_token:5.7.1 | Май 30, 2026 |
| NPM | @capibar.chat/ui-kit:99.5.7 | Май 30, 2026 |
| vscode | xampp-manager:5.1.3 | Май 30, 2026 |
| NPM | @чат-шаблон/авторизация:1.0.0 | Май 31, 2026 |
| NPM | json-to-simple-graphql-schema:1.0.0 | Юни 1, 2026 |
| NPM | @gs-select/savings-client-application:99.0.0 | Юни 1, 2026 |
| NPM | nemo-репортер:1.8.2 | Юни 1, 2026 |
| NPM | cms-github:4.2.4 | Юни 1, 2026 |
| NPM | cms-helpgit:4.2.6 | Юни 1, 2026 |
| NPM | cms-helpgit:4.2.8 | Юни 1, 2026 |
| NPM | cms-storehub:1.3.4 | Юни 1, 2026 |
| NPM | cms-storehub:1.3.5 | Юни 1, 2026 |
| NPM | cms-storehub:1.3.6 | Юни 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Юни 1, 2026 |
| NPM | стратегия-за-локация-на-търговски-търговски-интерфейс:1.1.1 | Юни 1, 2026 |
| NPM | стратегия-за-локация-на-търговски-търговски-интерфейс:1.1.2 | Юни 1, 2026 |
| NPM | conversa-sdk:2.0.2 | Юни 1, 2026 |
| NPM | велтрикс:9.0.0 | Юни 1, 2026 |
| NPM | велтрикс:9.0.1 | Юни 1, 2026 |
| NPM | jingmeideshishi:1.0.4 | Юни 1, 2026 |
| NPM | jingmeideshishi:1.0.5 | Юни 1, 2026 |
| NPM | @tse-digital/core:99.0.0 | Юни 1, 2026 |
| NPM | @telenor-se/core:99.0.0 | Юни 1, 2026 |
| NPM | @ownit/core:99.0.0 | Юни 1, 2026 |
| NPM | документи за пациенти: 75.0.0 | Юни 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.69 | Юни 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.68 | Юни 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.82 | Юни 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.80 | Юни 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.81 | Юни 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.83 | Юни 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.3 | Юни 1, 2026 |
| NPM | @emcd-vue/auth:6.4.9 | Юни 1, 2026 |
| NPM | @emcd-vue/b2b-pay-form:5.7.4 | Юни 1, 2026 |
| NPM | @ccrm/user-storage-api-axios:5.0.1 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.8 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.12 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.16 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.17 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.18 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.19 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.20 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.21 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.22 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.23 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.24 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.25 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.26 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.27 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.28 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.29 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.30 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.31 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.32 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.41 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.42 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.43 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.44 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.45 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.46 | Юни 2, 2026 |
| NPM | meoo-ui-helpers:1.0.1 | Юни 2, 2026 |
| NPM | @langgraphjs/toolkit:1.2.10 | Юни 2, 2026 |
| NPM | eyevox:9.0.1 | Юни 2, 2026 |
| NPM | чувствителност: 2.5.53 | Юни 3, 2026 |
| NPM | чувствителност: 2.5.54 | Юни 3, 2026 |
| NPM | чувствителност: 2.5.55 | Юни 3, 2026 |
| NPM | чувствителност: 2.5.56 | Юни 3, 2026 |
| NPM | чувствителност: 2.5.57 | Юни 3, 2026 |
| NPM | чувствителност: 2.5.61 | Юни 3, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.1 | Юни 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.2 | Юни 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.5 | Юни 4, 2026 |
| NPM | услуга за набиране на средства:1.0.0 | Юни 4, 2026 |
| NPM | чувствителност: 2.5.67 | Юни 4, 2026 |
| NPM | чувствителност: 2.5.68 | Юни 4, 2026 |
| NPM | vg-модел-на-взаимодействие:40.0.5 | Юни 4, 2026 |
| NPM | internallib_v346:1.0.3 | Юни 4, 2026 |
| NPM | internallib_v346:1.0.5 | Юни 4, 2026 |
| NPM | internallib_v346:1.0.9 | Юни 4, 2026 |
| NPM | ai-sdk-помощници:0.2.1 | Юни 4, 2026 |
| NPM | ai-sdk-помощници:0.3.0 | Юни 4, 2026 |
| NPM | ai-sdk-помощници:0.3.1 | Юни 4, 2026 |
| NPM | ai-sdk-помощници:1.1.0 | Юни 4, 2026 |
| NPM | ai-sdk-помощници:1.1.1 | Юни 4, 2026 |
| NPM | ai-sdk-помощници:1.3.0 | Юни 4, 2026 |
| NPM | ai-sdk-помощници:1.4.0 | Юни 4, 2026 |
| NPM | ai-sdk-помощници:1.4.2 | Юни 4, 2026 |
| NPM | @achuthvp/postinstall-poc:1.0.3 | Юни 4, 2026 |
| NPM | чувствителност: 2.5.0 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.1 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.2 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.3 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.4 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.5 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.13 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.14 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.15 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.33 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.34 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.35 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.36 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.37 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.38 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.58 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.59 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.60 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.62 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.63 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.64 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.65 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.66 | Юни 5, 2026 |
| NPM | чувствителност: 2.5.69 | Юни 5, 2026 |
Защитете зависимостите си с отворен код срещу уязвимости и зловреден код
Не позволявайте на злонамерени пакети да достигнат до вашия pipelines. Ранно откриване на зловреден софтуер от Xygeni дава на вашия екип видимост в реално време за най-важните заплахи, като открива вредни зависимости, преди те да са докоснали вашия софтуер.
Както става ясно от дайджеста тази седмица, обемът и сложността на кампаниите със злонамерени пакети не намаляват. Координирано претоварване с версии, имитиране на модули за плащане и имена на пакети, звучащи вътрешно, са само някои от тактиките, които нападателите използват, за да се измъкнат. standard защити. Да бъдете крачка пред тези заплахи изисква повече от периодични одити, то изисква непрекъснато наблюдение във всеки регистър, от който зависят вашите екипи.
Ксигени Open Source Security Решението сканира и блокира вредни пакети в момента на публикуване, в npm, PyPI и други подобни. Чрез контекстуално приоритизиране на уязвимостите, които представляват най-голям реален риск (и рационализиране на пътя за отстраняване на проблемите за вашите DevSecOps екипи), Xygeni ви помага да поддържате сигурна и надеждна доставка на софтуер, без да забавя разработката.




