Digest di Codice Maliziosu 73

Xygeni Malicious Code Digest 73

Quasi ogni settimana, i nostri sistemi di rilevazione di malware scansionanu migliaia di pacchetti novi è aggiornati in registri publichi cum'è npm è PyPI. Sta settimana hè stata assai attiva.

Avemu cunfirmatu 198 pacchetti maliziosi, principalmente in npm, cù casi supplementari in PyPI, OpenVSX, Composer, è estensioni VS Code. Parechji sò apparsi in cluster coordinati, cù ripetute versioni maliziose publicate sottu i stessi nomi o in famiglie di pacchetti strettamente correlate. Un casu eccezziunale hè statu u sensivity pacchettu, chì hà inundatu npm cù più di 60 versioni in tutta a gamma 2.5.x. Altri cluster notevuli includenu ai-sdk-helpers (8 versioni destinate à i sviluppatori di IA), @antoncallahan/aws-user-helper (7 versioni chì impersonanu un'utilità AWS), @apple-pay-trust e @google-pay-trust famiglie (imitendu i moduli di checkout di pagamentu), @frengki0707/google-cloud-clone (5 versioni chì falsificanu Google Cloud), è cms-storehub, cms-helpgit, e cms-github (CMS di destinazione pipelines). Parechji pacchetti imitavanu i moduli di pagamentu è di checkout, enterprise è pacchetti web interni, clienti di analisi, fundazioni di l'interfaccia utente, utilità di sviluppatore, esploratori di cumpunenti, pacchetti à tema cloud è Google, è altri moduli cumunemente affidabili in i flussi di travagliu di sviluppu muderni.

Queste ùn eranu micca anomalie isulate. Ciò chì hè statu evidente sta settimana hè stata a scala di publicazioni ripetute in e stesse famiglie di pacchetti, u riutilizazione di mudelli di denominazione è u modu in cui i pacchetti maliziosi sò stati mascherati per sembrà dipendenze legittime in a vera distribuzione di software. pipelines.

Questa istantanea settimanale face parte di u nostru Malicious Code Digest in corsu, induve validemu e nuove minacce è furnimu intelligenza azzionabile per aiutà e squadre DevSecOps à prutege i so pipelines prima chì si verifichinu danni.

Analizemu ciò chì avemu trovu sta settimana è perchè hè impurtante.

Pacchetti maliziosi cunfirmati
Ecosistema pacchettu Date
npm@cloudplatform-single-spa/amministrazione:99.99.100Chì 30, 2026
npm@cloudplatform-single-spa/svp-s3-storage:99.99.100Chì 30, 2026
npm@maximvs1538/os-npm:99.0.0Chì 30, 2026
npm@easy-entry/landing-routes:99.9.5Chì 30, 2026
npm@easy-entry/outside-registration-fop-navigator:99.9.5Chì 30, 2026
npm@easy-entry/routes:99.9.5Chì 30, 2026
npm@t-in-one/form_product_token:5.7.1Chì 30, 2026
npm@capibar.chat/ui-kit:99.5.7Chì 30, 2026
vscodexampp-manager:5.1.3Chì 30, 2026
npm@chat-template/auth:1.0.0Chì 31, 2026
npmjson-à-schema-graphql-semplice:1.0.0Jun 1, 2026
npm@gs-select/savings-client-application:99.0.0Jun 1, 2026
npmnemo-reporter:1.8.2Jun 1, 2026
npmcms-github:4.2.4Jun 1, 2026
npmcms-helpgit:4.2.6Jun 1, 2026
npmcms-helpgit:4.2.8Jun 1, 2026
npmcms-storehub:1.3.4Jun 1, 2026
npmcms-storehub:1.3.5Jun 1, 2026
npmcms-storehub:1.3.6Jun 1, 2026
pipisimtooreal-cli:0.3.0Jun 1, 2026
npmstrategia-di-lucazione-di-vendita-frontend:1.1.1Jun 1, 2026
npmstrategia-di-lucazione-di-vendita-frontend:1.1.2Jun 1, 2026
npmconversa-sdk:2.0.2Jun 1, 2026
npmveltrix:9.0.0Jun 1, 2026
npmveltrix:9.0.1Jun 1, 2026
npmjingmeideshishi: 1.0.4Jun 1, 2026
npmjingmeideshishi: 1.0.5Jun 1, 2026
npm@tse-digital/core:99.0.0Jun 1, 2026
npm@telenor-se/core:99.0.0Jun 1, 2026
npm@ownit/core:99.0.0Jun 1, 2026
npmdocumenti di u paziente: 75.0.0Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.69Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.68Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.82Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.80Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.81Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.83Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.3Jun 1, 2026
npm@emcd-vue/auth:6.4.9Jun 1, 2026
npm@emcd-vue/b2b-pay-form:5.7.4Jun 1, 2026
npm@ccrm/user-storage-api-axios:5.0.1Jun 2, 2026
npmsensibilità: 2.5.8Jun 2, 2026
npmsensibilità: 2.5.12Jun 2, 2026
npmsensibilità: 2.5.16Jun 2, 2026
npmsensibilità: 2.5.17Jun 2, 2026
npmsensibilità: 2.5.18Jun 2, 2026
npmsensibilità: 2.5.19Jun 2, 2026
npmsensibilità: 2.5.20Jun 2, 2026
npmsensibilità: 2.5.21Jun 2, 2026
npmsensibilità: 2.5.22Jun 2, 2026
npmsensibilità: 2.5.23Jun 2, 2026
npmsensibilità: 2.5.24Jun 2, 2026
npmsensibilità: 2.5.25Jun 2, 2026
npmsensibilità: 2.5.26Jun 2, 2026
npmsensibilità: 2.5.27Jun 2, 2026
npmsensibilità: 2.5.28Jun 2, 2026
npmsensibilità: 2.5.29Jun 2, 2026
npmsensibilità: 2.5.30Jun 2, 2026
npmsensibilità: 2.5.31Jun 2, 2026
npmsensibilità: 2.5.32Jun 2, 2026
npmsensibilità: 2.5.41Jun 2, 2026
npmsensibilità: 2.5.42Jun 2, 2026
npmsensibilità: 2.5.43Jun 2, 2026
npmsensibilità: 2.5.44Jun 2, 2026
npmsensibilità: 2.5.45Jun 2, 2026
npmsensibilità: 2.5.46Jun 2, 2026
npmmeoo-ui-helpers:1.0.1Jun 2, 2026
npm@langgraphjs/toolkit:1.2.10Jun 2, 2026
npmeyevox:9.0.1Jun 2, 2026
npmsensibilità: 2.5.53Jun 3, 2026
npmsensibilità: 2.5.54Jun 3, 2026
npmsensibilità: 2.5.55Jun 3, 2026
npmsensibilità: 2.5.56Jun 3, 2026
npmsensibilità: 2.5.57Jun 3, 2026
npmsensibilità: 2.5.61Jun 3, 2026
npm@sentry-browser-sdk/profiling-node:1.0.1Jun 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.2Jun 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.5Jun 4, 2026
npmraccolta fondiserv:1.0.0Jun 4, 2026
npmsensibilità: 2.5.67Jun 4, 2026
npmsensibilità: 2.5.68Jun 4, 2026
npmvg-interaction-model:40.0.5Jun 4, 2026
npminternallib_v346:1.0.3Jun 4, 2026
npminternallib_v346:1.0.5Jun 4, 2026
npminternallib_v346:1.0.9Jun 4, 2026
npmai-sdk-helpers:0.2.1Jun 4, 2026
npmai-sdk-helpers:0.3.0Jun 4, 2026
npmai-sdk-helpers:0.3.1Jun 4, 2026
npmai-sdk-helpers:1.1.0Jun 4, 2026
npmai-sdk-helpers:1.1.1Jun 4, 2026
npmai-sdk-helpers:1.3.0Jun 4, 2026
npmai-sdk-helpers:1.4.0Jun 4, 2026
npmai-sdk-helpers:1.4.2Jun 4, 2026
npm@achuthvp/postinstall-poc:1.0.3Jun 4, 2026
npmsensibilità: 2.5.0Jun 5, 2026
npmsensibilità: 2.5.1Jun 5, 2026
npmsensibilità: 2.5.2Jun 5, 2026
npmsensibilità: 2.5.3Jun 5, 2026
npmsensibilità: 2.5.4Jun 5, 2026
npmsensibilità: 2.5.5Jun 5, 2026
npmsensibilità: 2.5.13Jun 5, 2026
npmsensibilità: 2.5.14Jun 5, 2026
npmsensibilità: 2.5.15Jun 5, 2026
npmsensibilità: 2.5.33Jun 5, 2026
npmsensibilità: 2.5.34Jun 5, 2026
npmsensibilità: 2.5.35Jun 5, 2026
npmsensibilità: 2.5.36Jun 5, 2026
npmsensibilità: 2.5.37Jun 5, 2026
npmsensibilità: 2.5.38Jun 5, 2026
npmsensibilità: 2.5.58Jun 5, 2026
npmsensibilità: 2.5.59Jun 5, 2026
npmsensibilità: 2.5.60Jun 5, 2026
npmsensibilità: 2.5.62Jun 5, 2026
npmsensibilità: 2.5.63Jun 5, 2026
npmsensibilità: 2.5.64Jun 5, 2026
npmsensibilità: 2.5.65Jun 5, 2026
npmsensibilità: 2.5.66Jun 5, 2026
npmsensibilità: 2.5.69Jun 5, 2026


Prutegge e vostre dipendenze Open Source contr'à e vulnerabilità è u codice maliziosu

Ùn lasciate micca i pacchetti maliziosi ghjunghje à u vostru pipelines. Rilevazione precoce di malware Xygeni dà à a vostra squadra una visibilità in tempu reale di e minacce più impurtanti, rilevendu e dipendenze dannose prima ch'elle tocchinu u vostru software.

Cum'è u riassuntu di sta settimana mostra chjaramente, u vulume è a sofisticazione di e campagne di pacchetti maliziosi ùn rallentanu micca. L'inundazione di versioni coordinate, l'impersonificazione di i moduli di pagamentu è i nomi di pacchetti chì sunanu interni sò solu alcune di e tattiche chì l'attaccanti utilizanu per sfuggire. standard difese. Stà à l'avanguardia di queste minacce richiede più cà verifiche periodiche, richiede un monitoraghju cuntinuu in ogni registru da u quale dipendenu e vostre squadre.

Xygeni's Open Source Security A suluzione scansiona è blocca i pacchetti dannosi à u puntu di publicazione, in npm, PyPI è oltre. Dendu priorità cuntestualmente à e vulnerabilità chì rapprisentanu u più grande risicu in u mondu reale (è simplificendu u percorsu di rimediazione per e vostre squadre DevSecOps), Xygeni vi aiuta à mantene una consegna di software sicura è affidabile senza rallentà u sviluppu.

sca-tools-software-strumenti-d'analisi-di-cumpusizione
Priorizà, rimedià è assicurà i vostri risichi di software
Uttene u vostru contu gratuitu.
Nisuna carta di creditu necessaria.

Assicurà u vostru sviluppu è a consegna di software

cù a Suite di Prodotti Xygeni