Σχεδόν κάθε εβδομάδα, τα συστήματα ανίχνευσης κακόβουλου λογισμικού μας σαρώνουν χιλιάδες νέα και ενημερωμένα πακέτα σε δημόσια μητρώα όπως το npm και το PyPI. Αυτή η εβδομάδα ήταν πολύ δραστήρια.
Επιβεβαιώσαμε 198 κακόβουλα πακέτα, κυρίως σε npm, με επιπλέον περιπτώσεις σε επεκτάσεις PyPI, OpenVSX, Composer και VS Code. Αρκετά εμφανίστηκαν σε συντονισμένα clusters, με επαναλαμβανόμενες κακόβουλες κυκλοφορίες που δημοσιεύτηκαν με τα ίδια ονόματα ή σε στενά συνδεδεμένες οικογένειες πακέτων. Μια περίπτωση που ξεχώρισε ήταν η sensivity πακέτο, το οποίο κατέκλυσε το npm με πάνω από 60 εκδόσεις σε όλη την γκάμα 2.5.x. Άλλα αξιοσημείωτα clusters περιλάμβαναν ai-sdk-helpers (8 εκδόσεις που απευθύνονται σε προγραμματιστές τεχνητής νοημοσύνης), @antoncallahan/aws-user-helper (7 εκδόσεις που μιμούνται ένα βοηθητικό πρόγραμμα AWS), @apple-pay-trust και @google-pay-trust οικογένειες (μιμούμενες ενότητες ολοκλήρωσης αγοράς πληρωμών), @frengki0707/google-cloud-clone (5 εκδόσεις που πλαστογραφούν το Google Cloud), και cms-storehub, cms-helpgitκαι cms-github (στόχευση CMS pipelines). Πολλά πακέτα μιμούνταν τις ενότητες πληρωμής και ολοκλήρωσης αγοράς, enterprise και εσωτερικά πακέτα ιστού, αναλυτικά προγράμματα-πελάτες, θεμέλια UI, βοηθητικά προγράμματα για προγραμματιστές, εξερευνητές στοιχείων, πακέτα με θέμα το cloud και την Google και άλλες ενότητες που είναι συνήθως αξιόπιστες στις σύγχρονες ροές εργασίας ανάπτυξης.
Αυτές δεν ήταν μεμονωμένες ανωμαλίες. Αυτό που ξεχώρισε αυτή την εβδομάδα ήταν η κλίμακα των επαναλαμβανόμενων δημοσιεύσεων στις ίδιες οικογένειες πακέτων, η επαναχρησιμοποίηση μοτίβων ονοματοδοσίας και ο τρόπος με τον οποίο τα κακόβουλα πακέτα μεταμφιέστηκαν ώστε να μοιάζουν με νόμιμες εξαρτήσεις μέσα σε πραγματική παράδοση λογισμικού. pipelines.
Αυτό το εβδομαδιαίο στιγμιότυπο αποτελεί μέρος της συνεχιζόμενης σύνοψης κακόβουλου κώδικα, όπου επικυρώνουμε νέες απειλές και παρέχουμε αξιοποιήσιμες πληροφορίες για να βοηθήσουμε τις ομάδες DevSecOps να προστατεύσουν τις pipelines πριν προκληθεί ζημιά.
Ας αναλύσουμε τι ανακαλύψαμε αυτή την εβδομάδα και γιατί είναι σημαντικό.
| Οικοσύστημα | Πακέτο | Ημερομηνία |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | 30 Μαΐου 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 Μαΐου 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | 30 Μαΐου 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | 30 Μαΐου 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30 Μαΐου 2026 |
| npm | @easy-entry/routes:99.9.5 | 30 Μαΐου 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | 30 Μαΐου 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | 30 Μαΐου 2026 |
| vscode | xampp-manager:5.1.3 | 30 Μαΐου 2026 |
| npm | @chat-template/auth:1.0.0 | 31 Μαΐου 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | 1 Ιουνίου 2026 |
| npm | @gs-select/εφαρμογή-πελάτη-εξοικονόμησης:99.0.0 | 1 Ιουνίου 2026 |
| npm | nemo-reporter:1.8.2 | 1 Ιουνίου 2026 |
| npm | cms-github:4.2.4 | 1 Ιουνίου 2026 |
| npm | cms-helpgit:4.2.6 | 1 Ιουνίου 2026 |
| npm | cms-helpgit:4.2.8 | 1 Ιουνίου 2026 |
| npm | cms-storehub:1.3.4 | 1 Ιουνίου 2026 |
| npm | cms-storehub:1.3.5 | 1 Ιουνίου 2026 |
| npm | cms-storehub:1.3.6 | 1 Ιουνίου 2026 |
| pypi | simtooreal-cli:0.3.0 | 1 Ιουνίου 2026 |
| npm | frontend-στρατηγικής-τοποθεσίας-λιανικής πώλησης: 1.1.1 | 1 Ιουνίου 2026 |
| npm | frontend-στρατηγικής-τοποθεσίας-λιανικής πώλησης: 1.1.2 | 1 Ιουνίου 2026 |
| npm | conversa-sdk:2.0.2 | 1 Ιουνίου 2026 |
| npm | veltrix:9.0.0 | 1 Ιουνίου 2026 |
| npm | veltrix:9.0.1 | 1 Ιουνίου 2026 |
| npm | jingmeideshishi:1.0.4 | 1 Ιουνίου 2026 |
| npm | jingmeideshishi:1.0.5 | 1 Ιουνίου 2026 |
| npm | @tse-digital/core:99.0.0 | 1 Ιουνίου 2026 |
| npm | @telenor-se/core:99.0.0 | 1 Ιουνίου 2026 |
| npm | @ownit/core:99.0.0 | 1 Ιουνίου 2026 |
| npm | έγγραφα ασθενούς: 75.0.0 | 1 Ιουνίου 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | 1 Ιουνίου 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | 1 Ιουνίου 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | 1 Ιουνίου 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | 1 Ιουνίου 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | 1 Ιουνίου 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | 1 Ιουνίου 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | 1 Ιουνίου 2026 |
| npm | @emcd-vue/auth:6.4.9 | 1 Ιουνίου 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | 1 Ιουνίου 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.8 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.12 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.16 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.17 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.18 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.19 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.20 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.21 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.22 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.23 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.24 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.25 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.26 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.27 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.28 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.29 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.30 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.31 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.32 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.41 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.42 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.43 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.44 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.45 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.46 | 2 Ιουνίου 2026 |
| npm | meoo-ui-helpers:1.0.1 | 2 Ιουνίου 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | 2 Ιουνίου 2026 |
| npm | eyevox:9.0.1 | 2 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.53 | 3 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.54 | 3 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.55 | 3 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.56 | 3 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.57 | 3 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.61 | 3 Ιουνίου 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | 4 Ιουνίου 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | 4 Ιουνίου 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | 4 Ιουνίου 2026 |
| npm | υπηρεσία συγκέντρωσης χρημάτων: 1.0.0 | 4 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.67 | 4 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.68 | 4 Ιουνίου 2026 |
| npm | μοντέλο-αλληλεπίδρασης-vg:40.0.5 | 4 Ιουνίου 2026 |
| npm | internallib_v346:1.0.3 | 4 Ιουνίου 2026 |
| npm | internallib_v346:1.0.5 | 4 Ιουνίου 2026 |
| npm | internallib_v346:1.0.9 | 4 Ιουνίου 2026 |
| npm | ai-sdk-helpers:0.2.1 | 4 Ιουνίου 2026 |
| npm | ai-sdk-helpers:0.3.0 | 4 Ιουνίου 2026 |
| npm | ai-sdk-helpers:0.3.1 | 4 Ιουνίου 2026 |
| npm | ai-sdk-helpers:1.1.0 | 4 Ιουνίου 2026 |
| npm | ai-sdk-helpers:1.1.1 | 4 Ιουνίου 2026 |
| npm | ai-sdk-helpers:1.3.0 | 4 Ιουνίου 2026 |
| npm | ai-sdk-helpers:1.4.0 | 4 Ιουνίου 2026 |
| npm | ai-sdk-helpers:1.4.2 | 4 Ιουνίου 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | 4 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.0 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.1 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.2 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.3 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.4 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.5 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.13 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.14 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.15 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.33 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.34 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.35 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.36 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.37 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.38 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.58 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.59 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.60 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.62 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.63 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.64 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.65 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.66 | 5 Ιουνίου 2026 |
| npm | ευαισθησία: 2.5.69 | 5 Ιουνίου 2026 |
Ασφαλίστε τις εξαρτήσεις ανοιχτού κώδικα από ευπάθειες και κακόβουλο κώδικα
Μην αφήσετε κακόβουλα πακέτα να φτάσουν στο pipelines. Πρώιμη ανίχνευση κακόβουλου λογισμικού Xygeni δίνει στην ομάδα σας ορατότητα σε πραγματικό χρόνο στις απειλές που έχουν τη μεγαλύτερη σημασία, εντοπίζοντας επιβλαβείς εξαρτήσεις προτού καν αγγίξουν το λογισμικό σας.
Όπως καταδεικνύει ξεκάθαρα η περίληψη αυτής της εβδομάδας, ο όγκος και η πολυπλοκότητα των καμπανιών κακόβουλων πακέτων δεν επιβραδύνεται. Ο συντονισμένος κατακλυσμός εκδόσεων, η πλαστοπροσωπία μονάδων πληρωμής και τα εσωτερικά ονόματα πακέτων είναι μόνο μερικές από τις τακτικές που χρησιμοποιούν οι εισβολείς για να ξεφύγουν. standard άμυνες. Η παραμονή μπροστά από αυτές τις απειλές απαιτεί κάτι περισσότερο από περιοδικούς ελέγχους, απαιτεί συνεχή παρακολούθηση σε κάθε μητρώο στο οποίο βασίζονται οι ομάδες σας.
Ξυγένης Open Source Security Η λύση σαρώνει και αποκλείει επιβλαβή πακέτα κατά τη δημοσίευση, σε npm, PyPI και πέρα από αυτά. Ιεραρχώντας τα ευάλωτα σημεία που παρουσιάζουν τον μεγαλύτερο πραγματικό κίνδυνο (και βελτιστοποιώντας τη διαδρομή αποκατάστασης για τις ομάδες DevSecOps), το Xygeni σας βοηθά να διατηρείτε ασφαλή και αξιόπιστη παράδοση λογισμικού χωρίς να επιβραδύνετε την ανάπτυξη.




