Bron bob wythnos, mae ein systemau canfod meddalwedd faleisus yn sganio miloedd o becynnau newydd a rhai wedi'u diweddaru ar draws cofrestrfeydd cyhoeddus fel npm a PyPI. Roedd yr wythnos hon yn weithgar iawn.
Fe wnaethon ni gadarnhau 198 o becynnau maleisus, yn bennaf ar draws npm, gydag achosion ychwanegol mewn estyniadau PyPI, OpenVSX, Composer, a VS Code. Ymddangosodd sawl un mewn clystyrau cydlynol, gyda datganiadau maleisus dro ar ôl tro wedi'u cyhoeddi o dan yr un enwau neu ar draws teuluoedd pecynnau cysylltiedig. Achos amlwg oedd y sensivity pecyn, a orlifodd npm gyda dros 60 o fersiynau wedi'u rhyddhau ar draws yr ystod 2.5.x. Roedd clystyrau nodedig eraill yn cynnwys ai-sdk-helpers (8 fersiwn yn targedu datblygwyr AI), @antoncallahan/aws-user-helper (7 fersiwn yn dynwared cyfleustodau AWS), @apple-pay-trust ac @google-pay-trust teuluoedd (yn dynwared modiwlau talu), @frengki0707/google-cloud-clone (5 fersiwn yn ffugio Google Cloud), a cms-storehub, cms-helpgit, a cms-github (targedu CMS pipelines). Roedd llawer o becynnau'n dynwared modiwlau talu a gwirio allan, enterprise a phecynnau gwe mewnol, cleientiaid dadansoddeg, sylfeini UI, cyfleustodau datblygwyr, archwilwyr cydrannau, pecynnau â thema cwmwl a Google, a modiwlau eraill y mae llifau gwaith datblygu modern yn ymddiried ynddynt yn gyffredin.
Nid anomaleddau ynysig oedd y rhain. Yr hyn a safodd allan yr wythnos hon oedd graddfa'r cyhoeddi dro ar ôl tro ar draws yr un teuluoedd pecynnau, ailddefnyddio patrymau enwi, a'r ffordd y cafodd pecynnau maleisus eu cuddio i edrych fel dibyniaethau cyfreithlon y tu mewn i gyflenwi meddalwedd go iawn. pipelines.
Mae'r ciplun wythnosol hwn yn rhan o'n Crynodeb Cod Maleisus parhaus, lle rydym yn dilysu bygythiadau newydd ac yn darparu gwybodaeth ymarferol i helpu timau DevSecOps i amddiffyn eu pipelines cyn i ddifrod ddigwydd.
Gadewch i ni ddadansoddi'r hyn a ganfuom yr wythnos hon a pham ei fod yn bwysig.
| ecosystem | pecyn | dyddiad |
|---|---|---|
| npm | @cloudplatform-single-sba/gweinyddiaeth:99.99.100 | Mai 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Mai 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Mai 30, 2026 |
| npm | @llwybrau-mynediad-hawdd/llwybrau-glanio:99.9.5 | Mai 30, 2026 |
| npm | @hawdd-mynd/cofrestru-y-tu-allan-fop-navigator:99.9.5 | Mai 30, 2026 |
| npm | @mynediad-hawdd/llwybrau:99.9.5 | Mai 30, 2026 |
| npm | @t-mewn-un/ffurflen_cynnyrch_token:5.7.1 | Mai 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Mai 30, 2026 |
| vscod | rheolwr-xampp:5.1.3 | Mai 30, 2026 |
| npm | @templed-sgwrs/awdurdodiad:1.0.0 | Mai 31, 2026 |
| npm | json-i-simple-graphql-schema:1.0.0 | Mehefin 1, 2026 |
| npm | @gs-select/savings-cleient-application:99.0.0 | Mehefin 1, 2026 |
| npm | nemo-gohebydd:1.8.2 | Mehefin 1, 2026 |
| npm | cms-github:4.2.4 | Mehefin 1, 2026 |
| npm | cms-helpgit:4.2.6 | Mehefin 1, 2026 |
| npm | cms-helpgit:4.2.8 | Mehefin 1, 2026 |
| npm | cms-storehub:1.3.4 | Mehefin 1, 2026 |
| npm | cms-storehub:1.3.5 | Mehefin 1, 2026 |
| npm | cms-storehub:1.3.6 | Mehefin 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Mehefin 1, 2026 |
| npm | blaen-strategaeth-lleoliad-manwerthu: 1.1.1 | Mehefin 1, 2026 |
| npm | blaen-strategaeth-lleoliad-manwerthu: 1.1.2 | Mehefin 1, 2026 |
| npm | conversa-sdk:2.0.2 | Mehefin 1, 2026 |
| npm | veltrix:9.0.0 | Mehefin 1, 2026 |
| npm | veltrix:9.0.1 | Mehefin 1, 2026 |
| npm | jingmeideshishi: 1.0.4 | Mehefin 1, 2026 |
| npm | jingmeideshishi: 1.0.5 | Mehefin 1, 2026 |
| npm | @tse-digital/craidd:99.0.0 | Mehefin 1, 2026 |
| npm | @telenor-se/craidd:99.0.0 | Mehefin 1, 2026 |
| npm | @ownit/craidd:99.0.0 | Mehefin 1, 2026 |
| npm | dogfennau cleifion:75.0.0 | Mehefin 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Mehefin 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Mehefin 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Mehefin 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Mehefin 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Mehefin 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Mehefin 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Mehefin 1, 2026 |
| npm | @emcd-vue/awdurdodiad:6.4.9 | Mehefin 1, 2026 |
| npm | @emcd-vue/ffurflen-dalu-b2b:5.7.4 | Mehefin 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.8 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.12 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.16 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.17 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.18 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.19 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.20 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.21 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.22 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.23 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.24 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.25 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.26 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.27 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.28 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.29 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.30 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.31 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.32 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.41 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.42 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.43 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.44 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.45 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.46 | Mehefin 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | Mehefin 2, 2026 |
| npm | @langgraphjs/pecyn cymorth:1.2.10 | Mehefin 2, 2026 |
| npm | eyevox:9.0.1 | Mehefin 2, 2026 |
| npm | sensitifrwydd: 2.5.53 | Mehefin 3, 2026 |
| npm | sensitifrwydd: 2.5.54 | Mehefin 3, 2026 |
| npm | sensitifrwydd: 2.5.55 | Mehefin 3, 2026 |
| npm | sensitifrwydd: 2.5.56 | Mehefin 3, 2026 |
| npm | sensitifrwydd: 2.5.57 | Mehefin 3, 2026 |
| npm | sensitifrwydd: 2.5.61 | Mehefin 3, 2026 |
| npm | @sentry-browser-sdk/proffilio-node:1.0.1 | Mehefin 4, 2026 |
| npm | @sentry-browser-sdk/proffilio-node:1.0.2 | Mehefin 4, 2026 |
| npm | @sentry-browser-sdk/proffilio-node:1.0.5 | Mehefin 4, 2026 |
| npm | codi arian gwasanaeth:1.0.0 | Mehefin 4, 2026 |
| npm | sensitifrwydd: 2.5.67 | Mehefin 4, 2026 |
| npm | sensitifrwydd: 2.5.68 | Mehefin 4, 2026 |
| npm | model-rhyngweithio-vg:40.0.5 | Mehefin 4, 2026 |
| npm | mewnollib_v346:1.0.3 | Mehefin 4, 2026 |
| npm | mewnollib_v346:1.0.5 | Mehefin 4, 2026 |
| npm | mewnollib_v346:1.0.9 | Mehefin 4, 2026 |
| npm | cynorthwywyr-ai-sdk:0.2.1 | Mehefin 4, 2026 |
| npm | cynorthwywyr-ai-sdk:0.3.0 | Mehefin 4, 2026 |
| npm | cynorthwywyr-ai-sdk:0.3.1 | Mehefin 4, 2026 |
| npm | cynorthwywyr-ai-sdk:1.1.0 | Mehefin 4, 2026 |
| npm | cynorthwywyr-ai-sdk:1.1.1 | Mehefin 4, 2026 |
| npm | cynorthwywyr-ai-sdk:1.3.0 | Mehefin 4, 2026 |
| npm | cynorthwywyr-ai-sdk:1.4.0 | Mehefin 4, 2026 |
| npm | cynorthwywyr-ai-sdk:1.4.2 | Mehefin 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Mehefin 4, 2026 |
| npm | sensitifrwydd: 2.5.0 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.1 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.2 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.3 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.4 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.5 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.13 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.14 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.15 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.33 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.34 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.35 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.36 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.37 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.38 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.58 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.59 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.60 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.62 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.63 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.64 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.65 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.66 | Mehefin 5, 2026 |
| npm | sensitifrwydd: 2.5.69 | Mehefin 5, 2026 |
Diogelwch Eich Dibyniaethau Ffynhonnell Agored rhag Gwendidau a Chod Maleisus
Peidiwch â gadael i becynnau maleisus gyrraedd eich pipelines. Canfod Maleiswedd Cynnar Xygeni yn rhoi gwelededd amser real i'ch tîm i'r bygythiadau pwysicaf, gan ganfod dibyniaethau niweidiol cyn iddyn nhw gyffwrdd â'ch meddalwedd.
Fel mae crynodeb yr wythnos hon yn ei egluro, nid yw nifer a soffistigedigrwydd ymgyrchoedd pecynnau maleisus yn arafu. Gorlifo fersiynau cydlynol, dynwared modiwlau talu, ac enwau pecynnau sy'n swnio'n fewnol yw rhai o'r tactegau y mae ymosodwyr yn eu defnyddio i lithro heibio. standard amddiffynfeydd. Mae aros ar flaen y gad o ran y bygythiadau hyn yn gofyn am fwy nag archwiliadau cyfnodol, mae'n galw am fonitro parhaus ar draws pob cofrestrfa y mae eich timau'n dibynnu arni.
Xygeni's Open Source Security Mae'r datrysiad yn sganio ac yn blocio pecynnau niweidiol ar adeg eu cyhoeddi, ar draws npm, PyPI, a thu hwnt. Drwy flaenoriaethu'r gwendidau sy'n peri'r risg fwyaf yn y byd go iawn yn ôl cyd-destun (a symleiddio'r llwybr adfer ar gyfer eich timau DevSecOps) mae Xygeni yn eich helpu i gynnal darpariaeth meddalwedd ddiogel a dibynadwy heb arafu datblygiad.




