Gairebé cada setmana, els nostres sistemes de detecció de programari maliciós escanegen milers de paquets nous i actualitzats en registres públics com ara npm i PyPI. Aquesta setmana ha estat molt activa.
Vam confirmar 198 paquets maliciosos, principalment a través de npm, amb casos addicionals a les extensions PyPI, OpenVSX, Composer i VS Code. Diversos van aparèixer en clústers coordinats, amb llançaments maliciosos repetits publicats amb els mateixos noms o en famílies de paquets estretament relacionades. Un cas destacat va ser el sensivity paquet, que va inundar npm amb més de 60 versions en tot el rang 2.5.x. Altres clústers destacats van incloure ai-sdk-helpers (8 versions dirigides a desenvolupadors d'IA) @antoncallahan/aws-user-helper (7 versions que suplanten una utilitat d'AWS), @apple-pay-trust i @google-pay-trust famílies (imitant mòduls de pagament i pagament), @frengki0707/google-cloud-clone (5 versions que suplanten Google Cloud), i cms-storehub, cms-helpgiti cms-github (orientat a CMS pipelines). Molts paquets imitaven els mòduls de pagament i de finalització de compra, enterprise i paquets web interns, clients d'anàlisi, fonaments d'IU, utilitats per a desenvolupadors, exploradors de components, paquets amb temàtica al núvol i a Google, i altres mòduls en què es confia habitualment en els fluxos de treball de desenvolupament moderns.
No es tractava d'anomalies aïllades. El que va destacar aquesta setmana va ser l'escala de publicacions repetides en les mateixes famílies de paquets, la reutilització de patrons de noms i la manera com els paquets maliciosos es disfressaven per semblar dependències legítimes dins del lliurament de programari real. pipelines.
Aquesta instantània setmanal forma part del nostre resum de codi maliciós, on validem noves amenaces i proporcionem intel·ligència accionable per ajudar els equips de DevSecOps a protegir els seus pipelines abans que es produeixi el dany.
Analitzem què hem trobat aquesta setmana i per què és important.
| Ecosistema | paquet | Data |
|---|---|---|
| npm | @cloudplatform-single-spa/administració:99.99.100 | Pot 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Pot 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Pot 30, 2026 |
| npm | @rutes-d'entrada-fàcil/aterratge:99.9.5 | Pot 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | Pot 30, 2026 |
| npm | @entrada-fàcil/rutes:99.9.5 | Pot 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Pot 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Pot 30, 2026 |
| vscode | xampp-manager:5.1.3 | Pot 30, 2026 |
| npm | @chat-template/auth:1.0.0 | Pot 31, 2026 |
| npm | json-a-simple-graphql-schema:1.0.0 | Juny 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Juny 1, 2026 |
| npm | nemo-reporter:1.8.2 | Juny 1, 2026 |
| npm | cms-github:4.2.4 | Juny 1, 2026 |
| npm | cms-helpgit:4.2.6 | Juny 1, 2026 |
| npm | cms-helpgit:4.2.8 | Juny 1, 2026 |
| npm | cms-storehub:1.3.4 | Juny 1, 2026 |
| npm | cms-storehub:1.3.5 | Juny 1, 2026 |
| npm | cms-storehub:1.3.6 | Juny 1, 2026 |
| pipi | simtooreal-cli:0.3.0 | Juny 1, 2026 |
| npm | front-end de l'estratègia d'ubicació comercial: 1.1.1 | Juny 1, 2026 |
| npm | front-end de l'estratègia d'ubicació comercial: 1.1.2 | Juny 1, 2026 |
| npm | conversa-sdk:2.0.2 | Juny 1, 2026 |
| npm | veltrix:9.0.0 | Juny 1, 2026 |
| npm | veltrix:9.0.1 | Juny 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Juny 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Juny 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Juny 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Juny 1, 2026 |
| npm | @ownit/core:99.0.0 | Juny 1, 2026 |
| npm | documents del pacient: 75.0.0 | Juny 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Juny 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Juny 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Juny 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Juny 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Juny 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Juny 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Juny 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Juny 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | Juny 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.8 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.12 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.16 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.17 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.18 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.19 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.20 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.21 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.22 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.23 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.24 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.25 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.26 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.27 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.28 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.29 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.30 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.31 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.32 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.41 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.42 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.43 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.44 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.45 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.46 | Juny 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | Juny 2, 2026 |
| npm | @langgraphjs/eines:1.2.10 | Juny 2, 2026 |
| npm | eyevox:9.0.1 | Juny 2, 2026 |
| npm | sensibilitat: 2.5.53 | Juny 3, 2026 |
| npm | sensibilitat: 2.5.54 | Juny 3, 2026 |
| npm | sensibilitat: 2.5.55 | Juny 3, 2026 |
| npm | sensibilitat: 2.5.56 | Juny 3, 2026 |
| npm | sensibilitat: 2.5.57 | Juny 3, 2026 |
| npm | sensibilitat: 2.5.61 | Juny 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Juny 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Juny 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Juny 4, 2026 |
| npm | recaptació de fonsserv:1.0.0 | Juny 4, 2026 |
| npm | sensibilitat: 2.5.67 | Juny 4, 2026 |
| npm | sensibilitat: 2.5.68 | Juny 4, 2026 |
| npm | vg-interaction-model:40.0.5 | Juny 4, 2026 |
| npm | internallib_v346:1.0.3 | Juny 4, 2026 |
| npm | internallib_v346:1.0.5 | Juny 4, 2026 |
| npm | internallib_v346:1.0.9 | Juny 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 | Juny 4, 2026 |
| npm | ai-sdk-helpers:0.3.0 | Juny 4, 2026 |
| npm | ai-sdk-helpers:0.3.1 | Juny 4, 2026 |
| npm | ai-sdk-helpers:1.1.0 | Juny 4, 2026 |
| npm | ai-sdk-helpers:1.1.1 | Juny 4, 2026 |
| npm | ai-sdk-helpers:1.3.0 | Juny 4, 2026 |
| npm | ai-sdk-helpers:1.4.0 | Juny 4, 2026 |
| npm | ai-sdk-helpers:1.4.2 | Juny 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Juny 4, 2026 |
| npm | sensibilitat: 2.5.0 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.1 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.2 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.3 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.4 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.5 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.13 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.14 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.15 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.33 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.34 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.35 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.36 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.37 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.38 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.58 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.59 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.60 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.62 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.63 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.64 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.65 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.66 | Juny 5, 2026 |
| npm | sensibilitat: 2.5.69 | Juny 5, 2026 |
Protegiu les vostres dependències de codi obert contra vulnerabilitats i codi maliciós
No deixis que els paquets maliciosos arribin al teu pipelines. Detecció precoç de programari maliciós de Xygeni dóna al teu equip visibilitat en temps real de les amenaces més importants, detectant dependències nocives abans que toquin el teu programari.
Com deixa clar el resum d'aquesta setmana, el volum i la sofisticació de les campanyes de paquets maliciosos no disminueixen. La inundació coordinada de versions, la suplantació d'identitat de mòduls de pagament i els noms de paquets que semblen interns són només algunes de les tàctiques que els atacants utilitzen per passar per alt. standard defenses. Mantenir-se per davant d'aquestes amenaces requereix més que auditories periòdiques, sinó que exigeix una supervisió contínua de tots els registres dels quals depenen els vostres equips.
Xygeni's Open Source Security La solució escaneja i bloqueja els paquets nocius en el punt de publicació, a través de npm, PyPI i més enllà. En prioritzar contextualment les vulnerabilitats que representen el risc més gran del món real (i optimitzar la ruta de remediació per als vostres equips de DevSecOps), Xygeni us ajuda a mantenir un lliurament de programari segur i fiable sense alentir el desenvolupament.




