Skoro svake sedmice, naši sistemi za detekciju zlonamjernog softvera skeniraju hiljade novih i ažuriranih paketa u javnim registrima poput npm-a i PyPI-a. Ova sedmica je bila veoma aktivna.
Potvrdili smo 198 malicioznih paketa, prvenstveno u npm-u, s dodatnim slučajevima u ekstenzijama PyPI, OpenVSX, Composer i VS Code. Nekoliko se pojavilo u koordiniranim klasterima, s ponovljenim zlonamjernim izdanjima objavljenim pod istim imenima ili u blisko povezanim porodicama paketa. Istaknut slučaj bio je sensivity paket, koji je preplavio npm sa preko 60 verzija izdanja u rasponu od 2.5.x. Ostali značajni klasteri uključuju ai-sdk-helpers (8 verzija namijenjenih programerima umjetne inteligencije), @antoncallahan/aws-user-helper (7 verzija koje se lažno predstavljaju kao AWS uslužni program), @apple-pay-trust i @google-pay-trust porodice (imitiraju module za plaćanje), @frengki0707/google-cloud-clone (5 verzija koje lažno predstavljaju Google Cloud) i cms-storehub, cms-helpgit, I cms-github (ciljajući CMS pipelines). Mnogi paketi su imitirali module za plaćanje i naplatu, enterprise i interni web paketi, klijenti za analitiku, osnove korisničkog interfejsa, uslužni programi za razvojne programere, istraživači komponenti, paketi u oblaku i Google stilu, te drugi moduli kojima se obično vjeruje u modernim razvojnim tokovima rada.
Ovo nisu bile izolovane anomalije. Ono što se istaklo ove sedmice bio je obim ponovljenog objavljivanja u istim porodicama paketa, ponovna upotreba obrazaca imenovanja i način na koji su zlonamjerni paketi bili prikriveni da izgledaju kao legitimne zavisnosti unutar stvarne isporuke softvera. pipelines.
Ovaj sedmični pregled je dio našeg tekućeg pregleda zlonamjernog koda, gdje provjeravamo nove prijetnje i pružamo korisne obavještajne podatke kako bismo pomogli DevSecOps timovima da zaštite svoje pipelineprije nego što dođe do oštećenja.
Hajde da analiziramo šta smo otkrili ove sedmice i zašto je to važno.
| Ekosistem | paket | Datum |
|---|---|---|
| npm | @cloudplatform-single-spa/administracija:99.99.100 | Može 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Može 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Može 30, 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | Može 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | Može 30, 2026 |
| npm | @easy-entry/rute:99.9.5 | Može 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Može 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Može 30, 2026 |
| vscode | xampp-manager:5.1.3 | Može 30, 2026 |
| npm | @chat-template/auth:1.0.0 | Može 31, 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | Juni 1, 2026 |
| npm | @gs-select/aplikacija-za-štednju-klijenta:99.0.0 | Juni 1, 2026 |
| npm | nemo-reporter:1.8.2 | Juni 1, 2026 |
| npm | cms-github:4.2.4 | Juni 1, 2026 |
| npm | cms-helpgit:4.2.6 | Juni 1, 2026 |
| npm | cms-helpgit:4.2.8 | Juni 1, 2026 |
| npm | cms-storehub:1.3.4 | Juni 1, 2026 |
| npm | cms-storehub:1.3.5 | Juni 1, 2026 |
| npm | cms-storehub:1.3.6 | Juni 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Juni 1, 2026 |
| npm | strategija-lokacije-u-maloprodaji-frontend:1.1.1 | Juni 1, 2026 |
| npm | strategija-lokacije-u-maloprodaji-frontend:1.1.2 | Juni 1, 2026 |
| npm | conversa-sdk:2.0.2 | Juni 1, 2026 |
| npm | veltrix:9.0.0 | Juni 1, 2026 |
| npm | veltrix:9.0.1 | Juni 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Juni 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Juni 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Juni 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Juni 1, 2026 |
| npm | @ownit/core:99.0.0 | Juni 1, 2026 |
| npm | dokumenti pacijenta: 75.0.0 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Juni 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Juni 1, 2026 |
| npm | @emcd-vue/b2b-form-za-plaćanje:5.7.4 | Juni 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.8 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.12 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.16 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.17 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.18 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.19 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.20 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.21 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.22 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.23 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.24 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.25 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.26 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.27 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.28 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.29 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.30 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.31 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.32 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.41 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.42 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.43 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.44 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.45 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.46 | Juni 2, 2026 |
| npm | meoo-ui-pomoćnici:1.0.1 | Juni 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Juni 2, 2026 |
| npm | eyevox:9.0.1 | Juni 2, 2026 |
| npm | osjetljivost: 2.5.53 | Juni 3, 2026 |
| npm | osjetljivost: 2.5.54 | Juni 3, 2026 |
| npm | osjetljivost: 2.5.55 | Juni 3, 2026 |
| npm | osjetljivost: 2.5.56 | Juni 3, 2026 |
| npm | osjetljivost: 2.5.57 | Juni 3, 2026 |
| npm | osjetljivost: 2.5.61 | Juni 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Juni 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Juni 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Juni 4, 2026 |
| npm | prikupljanje sredstava:1.0.0 | Juni 4, 2026 |
| npm | osjetljivost: 2.5.67 | Juni 4, 2026 |
| npm | osjetljivost: 2.5.68 | Juni 4, 2026 |
| npm | vg-interakcijski-model:40.0.5 | Juni 4, 2026 |
| npm | internallib_v346:1.0.3 | Juni 4, 2026 |
| npm | internallib_v346:1.0.5 | Juni 4, 2026 |
| npm | internallib_v346:1.0.9 | Juni 4, 2026 |
| npm | ai-sdk-pomoćnici:0.2.1 | Juni 4, 2026 |
| npm | ai-sdk-pomoćnici:0.3.0 | Juni 4, 2026 |
| npm | ai-sdk-pomoćnici:0.3.1 | Juni 4, 2026 |
| npm | ai-sdk-pomoćnici:1.1.0 | Juni 4, 2026 |
| npm | ai-sdk-pomoćnici:1.1.1 | Juni 4, 2026 |
| npm | ai-sdk-pomoćnici:1.3.0 | Juni 4, 2026 |
| npm | ai-sdk-pomoćnici:1.4.0 | Juni 4, 2026 |
| npm | ai-sdk-pomoćnici:1.4.2 | Juni 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Juni 4, 2026 |
| npm | osjetljivost: 2.5.0 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.1 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.2 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.3 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.4 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.5 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.13 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.14 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.15 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.33 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.34 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.35 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.36 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.37 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.38 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.58 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.59 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.60 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.62 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.63 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.64 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.65 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.66 | Juni 5, 2026 |
| npm | osjetljivost: 2.5.69 | Juni 5, 2026 |
Zaštitite svoje zavisnosti otvorenog koda od ranjivosti i zlonamjernog koda
Ne dozvolite da zlonamjerni paketi dođu do vašeg pipelines. Xygeni rano otkrivanje zlonamjernog softvera pruža vašem timu uvid u najvažnije prijetnje u stvarnom vremenu, otkrivajući štetne ovisnosti prije nego što se uopće dotaknu vašeg softvera.
Kao što ovonedeljni pregled jasno pokazuje, obim i sofisticiranost kampanja zlonamernih paketa se ne smanjuju. Koordinisano preplavljivanje verzijama, lažno predstavljanje modula za plaćanje i interna imena paketa samo su neke od taktika koje napadači koriste da bi se provukli. standard odbrane. Održavanje koraka ispred ovih prijetnji zahtijeva više od periodičnih revizija, ono zahtijeva kontinuirano praćenje svakog registra od kojeg vaši timovi zavise.
Xygeni's Open Source Security Rješenje skenira i blokira štetne pakete u trenutku objavljivanja, putem npm-a, PyPI-ja i šire. Kontekstualnim davanjem prioriteta ranjivostima koje predstavljaju najveći rizik u stvarnom svijetu (i pojednostavljenjem puta sanacije za vaše DevSecOps timove), Xygeni vam pomaže da održavate sigurnu i pouzdanu isporuku softvera bez usporavanja razvoja.




