Quasi ogni settimana, i nostri sistemi di rilevazione di malware scansionanu migliaia di pacchetti novi è aggiornati in registri publichi cum'è npm è PyPI. Sta settimana hè stata assai attiva.
Avemu cunfirmatu 198 pacchetti maliziosi, principalmente in npm, cù casi supplementari in PyPI, OpenVSX, Composer, è estensioni VS Code. Parechji sò apparsi in cluster coordinati, cù ripetute versioni maliziose publicate sottu i stessi nomi o in famiglie di pacchetti strettamente correlate. Un casu eccezziunale hè statu u sensivity pacchettu, chì hà inundatu npm cù più di 60 versioni in tutta a gamma 2.5.x. Altri cluster notevuli includenu ai-sdk-helpers (8 versioni destinate à i sviluppatori di IA), @antoncallahan/aws-user-helper (7 versioni chì impersonanu un'utilità AWS), @apple-pay-trust e @google-pay-trust famiglie (imitendu i moduli di checkout di pagamentu), @frengki0707/google-cloud-clone (5 versioni chì falsificanu Google Cloud), è cms-storehub, cms-helpgit, e cms-github (CMS di destinazione pipelines). Parechji pacchetti imitavanu i moduli di pagamentu è di checkout, enterprise è pacchetti web interni, clienti di analisi, fundazioni di l'interfaccia utente, utilità di sviluppatore, esploratori di cumpunenti, pacchetti à tema cloud è Google, è altri moduli cumunemente affidabili in i flussi di travagliu di sviluppu muderni.
Queste ùn eranu micca anomalie isulate. Ciò chì hè statu evidente sta settimana hè stata a scala di publicazioni ripetute in e stesse famiglie di pacchetti, u riutilizazione di mudelli di denominazione è u modu in cui i pacchetti maliziosi sò stati mascherati per sembrà dipendenze legittime in a vera distribuzione di software. pipelines.
Questa istantanea settimanale face parte di u nostru Malicious Code Digest in corsu, induve validemu e nuove minacce è furnimu intelligenza azzionabile per aiutà e squadre DevSecOps à prutege i so pipelines prima chì si verifichinu danni.
Analizemu ciò chì avemu trovu sta settimana è perchè hè impurtante.
| Ecosistema | pacchettu | Date |
|---|---|---|
| npm | @cloudplatform-single-spa/amministrazione:99.99.100 | Chì 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Chì 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Chì 30, 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | Chì 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | Chì 30, 2026 |
| npm | @easy-entry/routes:99.9.5 | Chì 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Chì 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Chì 30, 2026 |
| vscode | xampp-manager:5.1.3 | Chì 30, 2026 |
| npm | @chat-template/auth:1.0.0 | Chì 31, 2026 |
| npm | json-à-schema-graphql-semplice:1.0.0 | Jun 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Jun 1, 2026 |
| npm | nemo-reporter:1.8.2 | Jun 1, 2026 |
| npm | cms-github:4.2.4 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.6 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.8 | Jun 1, 2026 |
| npm | cms-storehub:1.3.4 | Jun 1, 2026 |
| npm | cms-storehub:1.3.5 | Jun 1, 2026 |
| npm | cms-storehub:1.3.6 | Jun 1, 2026 |
| pipi | simtooreal-cli:0.3.0 | Jun 1, 2026 |
| npm | strategia-di-lucazione-di-vendita-frontend:1.1.1 | Jun 1, 2026 |
| npm | strategia-di-lucazione-di-vendita-frontend:1.1.2 | Jun 1, 2026 |
| npm | conversa-sdk:2.0.2 | Jun 1, 2026 |
| npm | veltrix:9.0.0 | Jun 1, 2026 |
| npm | veltrix:9.0.1 | Jun 1, 2026 |
| npm | jingmeideshishi: 1.0.4 | Jun 1, 2026 |
| npm | jingmeideshishi: 1.0.5 | Jun 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Jun 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Jun 1, 2026 |
| npm | @ownit/core:99.0.0 | Jun 1, 2026 |
| npm | documenti di u paziente: 75.0.0 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Jun 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Jun 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | Jun 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Jun 2, 2026 |
| npm | sensibilità: 2.5.8 | Jun 2, 2026 |
| npm | sensibilità: 2.5.12 | Jun 2, 2026 |
| npm | sensibilità: 2.5.16 | Jun 2, 2026 |
| npm | sensibilità: 2.5.17 | Jun 2, 2026 |
| npm | sensibilità: 2.5.18 | Jun 2, 2026 |
| npm | sensibilità: 2.5.19 | Jun 2, 2026 |
| npm | sensibilità: 2.5.20 | Jun 2, 2026 |
| npm | sensibilità: 2.5.21 | Jun 2, 2026 |
| npm | sensibilità: 2.5.22 | Jun 2, 2026 |
| npm | sensibilità: 2.5.23 | Jun 2, 2026 |
| npm | sensibilità: 2.5.24 | Jun 2, 2026 |
| npm | sensibilità: 2.5.25 | Jun 2, 2026 |
| npm | sensibilità: 2.5.26 | Jun 2, 2026 |
| npm | sensibilità: 2.5.27 | Jun 2, 2026 |
| npm | sensibilità: 2.5.28 | Jun 2, 2026 |
| npm | sensibilità: 2.5.29 | Jun 2, 2026 |
| npm | sensibilità: 2.5.30 | Jun 2, 2026 |
| npm | sensibilità: 2.5.31 | Jun 2, 2026 |
| npm | sensibilità: 2.5.32 | Jun 2, 2026 |
| npm | sensibilità: 2.5.41 | Jun 2, 2026 |
| npm | sensibilità: 2.5.42 | Jun 2, 2026 |
| npm | sensibilità: 2.5.43 | Jun 2, 2026 |
| npm | sensibilità: 2.5.44 | Jun 2, 2026 |
| npm | sensibilità: 2.5.45 | Jun 2, 2026 |
| npm | sensibilità: 2.5.46 | Jun 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | Jun 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Jun 2, 2026 |
| npm | eyevox:9.0.1 | Jun 2, 2026 |
| npm | sensibilità: 2.5.53 | Jun 3, 2026 |
| npm | sensibilità: 2.5.54 | Jun 3, 2026 |
| npm | sensibilità: 2.5.55 | Jun 3, 2026 |
| npm | sensibilità: 2.5.56 | Jun 3, 2026 |
| npm | sensibilità: 2.5.57 | Jun 3, 2026 |
| npm | sensibilità: 2.5.61 | Jun 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Jun 4, 2026 |
| npm | raccolta fondiserv:1.0.0 | Jun 4, 2026 |
| npm | sensibilità: 2.5.67 | Jun 4, 2026 |
| npm | sensibilità: 2.5.68 | Jun 4, 2026 |
| npm | vg-interaction-model:40.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.3 | Jun 4, 2026 |
| npm | internallib_v346:1.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.9 | Jun 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 | Jun 4, 2026 |
| npm | ai-sdk-helpers:0.3.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:0.3.1 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.1.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.1.1 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.3.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.4.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.4.2 | Jun 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Jun 4, 2026 |
| npm | sensibilità: 2.5.0 | Jun 5, 2026 |
| npm | sensibilità: 2.5.1 | Jun 5, 2026 |
| npm | sensibilità: 2.5.2 | Jun 5, 2026 |
| npm | sensibilità: 2.5.3 | Jun 5, 2026 |
| npm | sensibilità: 2.5.4 | Jun 5, 2026 |
| npm | sensibilità: 2.5.5 | Jun 5, 2026 |
| npm | sensibilità: 2.5.13 | Jun 5, 2026 |
| npm | sensibilità: 2.5.14 | Jun 5, 2026 |
| npm | sensibilità: 2.5.15 | Jun 5, 2026 |
| npm | sensibilità: 2.5.33 | Jun 5, 2026 |
| npm | sensibilità: 2.5.34 | Jun 5, 2026 |
| npm | sensibilità: 2.5.35 | Jun 5, 2026 |
| npm | sensibilità: 2.5.36 | Jun 5, 2026 |
| npm | sensibilità: 2.5.37 | Jun 5, 2026 |
| npm | sensibilità: 2.5.38 | Jun 5, 2026 |
| npm | sensibilità: 2.5.58 | Jun 5, 2026 |
| npm | sensibilità: 2.5.59 | Jun 5, 2026 |
| npm | sensibilità: 2.5.60 | Jun 5, 2026 |
| npm | sensibilità: 2.5.62 | Jun 5, 2026 |
| npm | sensibilità: 2.5.63 | Jun 5, 2026 |
| npm | sensibilità: 2.5.64 | Jun 5, 2026 |
| npm | sensibilità: 2.5.65 | Jun 5, 2026 |
| npm | sensibilità: 2.5.66 | Jun 5, 2026 |
| npm | sensibilità: 2.5.69 | Jun 5, 2026 |
Prutegge e vostre dipendenze Open Source contr'à e vulnerabilità è u codice maliziosu
Ùn lasciate micca i pacchetti maliziosi ghjunghje à u vostru pipelines. Rilevazione precoce di malware Xygeni dà à a vostra squadra una visibilità in tempu reale di e minacce più impurtanti, rilevendu e dipendenze dannose prima ch'elle tocchinu u vostru software.
Cum'è u riassuntu di sta settimana mostra chjaramente, u vulume è a sofisticazione di e campagne di pacchetti maliziosi ùn rallentanu micca. L'inundazione di versioni coordinate, l'impersonificazione di i moduli di pagamentu è i nomi di pacchetti chì sunanu interni sò solu alcune di e tattiche chì l'attaccanti utilizanu per sfuggire. standard difese. Stà à l'avanguardia di queste minacce richiede più cà verifiche periodiche, richiede un monitoraghju cuntinuu in ogni registru da u quale dipendenu e vostre squadre.
Xygeni's Open Source Security A suluzione scansiona è blocca i pacchetti dannosi à u puntu di publicazione, in npm, PyPI è oltre. Dendu priorità cuntestualmente à e vulnerabilità chì rapprisentanu u più grande risicu in u mondu reale (è simplificendu u percorsu di rimediazione per e vostre squadre DevSecOps), Xygeni vi aiuta à mantene una consegna di software sicura è affidabile senza rallentà u sviluppu.




