Preskaŭ ĉiusemajne, niaj sistemoj por detekti malicajn programojn skanas milojn da novaj kaj ĝisdatigitaj pakaĵoj tra publikaj registroj kiel npm kaj PyPI. Ĉi tiu semajno estis tre aktiva.
Ni konfirmis 198 malicaj pakaĵoj, ĉefe tra npm, kun pliaj kazoj en PyPI, OpenVSX, Composer, kaj VS Code-etendaĵoj. Pluraj aperis en kunordigitaj aretoj, kun ripetaj malicaj eldonoj publikigitaj sub la samaj nomoj aŭ tra proksime rilataj pakaĵfamilioj. Elstara kazo estis la sensivity pakaĵo, kiu inundis npm per pli ol 60 versiigitaj eldonoj tra la 2.5.x-intervalo. Aliaj rimarkindaj aretoj inkluzivis ai-sdk-helpers (8 versioj celantaj AI-programistojn), @antoncallahan/aws-user-helper (7 versioj ŝajnigantaj AWS-servaĵon), @apple-pay-trust kaj @google-pay-trust familioj (imitante pagajn kasmodulojn), @frengki0707/google-cloud-clone (5 versioj parodiantaj Google Cloud), kaj cms-storehub, cms-helpgitKaj cms-github (celante CMS-on pipelines). Multaj pakaĵoj imitis pagajn kaj kasajn modulojn, enterprise kaj internaj TTT-pakaĵoj, analizaj klientoj, UI-fondusoj, programistaj iloj, komponentaj esploriloj, nub- kaj Guglo-temaj pakaĵoj, kaj aliaj moduloj ofte fidindaj en modernaj evoluigaj laborfluoj.
Tiuj ne estis izolitaj anomalioj. Kio elstaris ĉi-semajne estis la amplekso de ripeta publikigado tra la samaj pakaĵfamilioj, la reuzo de nomŝablonoj, kaj la maniero kiel malicaj pakaĵoj estis kaŝvestitaj por aspekti kiel legitimaj dependecoj ene de reala programara liverado. pipelines.
Ĉi tiu semajna momentfoto estas parto de nia daŭranta Malicious Code Digest (Komisiono pri Malica Kodo), kie ni validigas novajn minacojn kaj provizas ageblajn informojn por helpi DevSecOps-teamojn protekti siajn pipelines antaŭ ol difekto okazas.
Ni analizu tion, kion ni trovis ĉi-semajne kaj kial ĝi gravas.
| Ekosistemo | pakaĵo | Dato |
|---|---|---|
| npm | @cloudplatform-single-spa/administrado:99.99.100 | Eble 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Eble 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Eble 30, 2026 |
| npm | @facila-eniro/alteriĝaj-itineroj:99.9.5 | Eble 30, 2026 |
| npm | @facila-eniro/ekstere-registrado-fop-navigilo:99.9.5 | Eble 30, 2026 |
| npm | @facila-eniro/itineroj:99.9.5 | Eble 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Eble 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Eble 30, 2026 |
| vscode | xampp-manaĝero:5.1.3 | Eble 30, 2026 |
| npm | @babileja-ŝablono/aŭtorizo:1.0.0 | Eble 31, 2026 |
| npm | json-al-simpla-graphql-skemo:1.0.0 | Jun 1, 2026 |
| npm | @gs-select/ŝparado-klienta-aplikaĵo:99.0.0 | Jun 1, 2026 |
| npm | nemo-raportisto:1.8.2 | Jun 1, 2026 |
| npm | cms-github:4.2.4 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.6 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.8 | Jun 1, 2026 |
| npm | cms-storehub:1.3.4 | Jun 1, 2026 |
| npm | cms-storehub:1.3.5 | Jun 1, 2026 |
| npm | cms-storehub:1.3.6 | Jun 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Jun 1, 2026 |
| npm | podetala-loka-strategio-interfaco:1.1.1 | Jun 1, 2026 |
| npm | podetala-loka-strategio-interfaco:1.1.2 | Jun 1, 2026 |
| npm | konversa-sdk:2.0.2 | Jun 1, 2026 |
| npm | veltrix:9.0.0 | Jun 1, 2026 |
| npm | veltrix:9.0.1 | Jun 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Jun 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Jun 1, 2026 |
| npm | @tse-cifereca/kerno:99.0.0 | Jun 1, 2026 |
| npm | @telenor-se/kerno:99.0.0 | Jun 1, 2026 |
| npm | @ownit/kerno:99.0.0 | Jun 1, 2026 |
| npm | pacientaj dokumentoj: 75.0.0 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Jun 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Jun 1, 2026 |
| npm | @emcd-vue/b2b-pag-formularo:5.7.4 | Jun 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Jun 2, 2026 |
| npm | sentemo: 2.5.8 | Jun 2, 2026 |
| npm | sentemo: 2.5.12 | Jun 2, 2026 |
| npm | sentemo: 2.5.16 | Jun 2, 2026 |
| npm | sentemo: 2.5.17 | Jun 2, 2026 |
| npm | sentemo: 2.5.18 | Jun 2, 2026 |
| npm | sentemo: 2.5.19 | Jun 2, 2026 |
| npm | sentemo: 2.5.20 | Jun 2, 2026 |
| npm | sentemo: 2.5.21 | Jun 2, 2026 |
| npm | sentemo: 2.5.22 | Jun 2, 2026 |
| npm | sentemo: 2.5.23 | Jun 2, 2026 |
| npm | sentemo: 2.5.24 | Jun 2, 2026 |
| npm | sentemo: 2.5.25 | Jun 2, 2026 |
| npm | sentemo: 2.5.26 | Jun 2, 2026 |
| npm | sentemo: 2.5.27 | Jun 2, 2026 |
| npm | sentemo: 2.5.28 | Jun 2, 2026 |
| npm | sentemo: 2.5.29 | Jun 2, 2026 |
| npm | sentemo: 2.5.30 | Jun 2, 2026 |
| npm | sentemo: 2.5.31 | Jun 2, 2026 |
| npm | sentemo: 2.5.32 | Jun 2, 2026 |
| npm | sentemo: 2.5.41 | Jun 2, 2026 |
| npm | sentemo: 2.5.42 | Jun 2, 2026 |
| npm | sentemo: 2.5.43 | Jun 2, 2026 |
| npm | sentemo: 2.5.44 | Jun 2, 2026 |
| npm | sentemo: 2.5.45 | Jun 2, 2026 |
| npm | sentemo: 2.5.46 | Jun 2, 2026 |
| npm | meoo-ui-helpantoj:1.0.1 | Jun 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Jun 2, 2026 |
| npm | okulovokso:9.0.1 | Jun 2, 2026 |
| npm | sentemo: 2.5.53 | Jun 3, 2026 |
| npm | sentemo: 2.5.54 | Jun 3, 2026 |
| npm | sentemo: 2.5.55 | Jun 3, 2026 |
| npm | sentemo: 2.5.56 | Jun 3, 2026 |
| npm | sentemo: 2.5.57 | Jun 3, 2026 |
| npm | sentemo: 2.5.61 | Jun 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Jun 4, 2026 |
| npm | monkolekta servo:1.0.0 | Jun 4, 2026 |
| npm | sentemo: 2.5.67 | Jun 4, 2026 |
| npm | sentemo: 2.5.68 | Jun 4, 2026 |
| npm | vg-interago-modelo:40.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.3 | Jun 4, 2026 |
| npm | internallib_v346:1.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.9 | Jun 4, 2026 |
| npm | ai-sdk-helpantoj:0.2.1 | Jun 4, 2026 |
| npm | ai-sdk-helpantoj:0.3.0 | Jun 4, 2026 |
| npm | ai-sdk-helpantoj:0.3.1 | Jun 4, 2026 |
| npm | ai-sdk-helpantoj:1.1.0 | Jun 4, 2026 |
| npm | ai-sdk-helpantoj:1.1.1 | Jun 4, 2026 |
| npm | ai-sdk-helpantoj:1.3.0 | Jun 4, 2026 |
| npm | ai-sdk-helpantoj:1.4.0 | Jun 4, 2026 |
| npm | ai-sdk-helpantoj:1.4.2 | Jun 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Jun 4, 2026 |
| npm | sentemo: 2.5.0 | Jun 5, 2026 |
| npm | sentemo: 2.5.1 | Jun 5, 2026 |
| npm | sentemo: 2.5.2 | Jun 5, 2026 |
| npm | sentemo: 2.5.3 | Jun 5, 2026 |
| npm | sentemo: 2.5.4 | Jun 5, 2026 |
| npm | sentemo: 2.5.5 | Jun 5, 2026 |
| npm | sentemo: 2.5.13 | Jun 5, 2026 |
| npm | sentemo: 2.5.14 | Jun 5, 2026 |
| npm | sentemo: 2.5.15 | Jun 5, 2026 |
| npm | sentemo: 2.5.33 | Jun 5, 2026 |
| npm | sentemo: 2.5.34 | Jun 5, 2026 |
| npm | sentemo: 2.5.35 | Jun 5, 2026 |
| npm | sentemo: 2.5.36 | Jun 5, 2026 |
| npm | sentemo: 2.5.37 | Jun 5, 2026 |
| npm | sentemo: 2.5.38 | Jun 5, 2026 |
| npm | sentemo: 2.5.58 | Jun 5, 2026 |
| npm | sentemo: 2.5.59 | Jun 5, 2026 |
| npm | sentemo: 2.5.60 | Jun 5, 2026 |
| npm | sentemo: 2.5.62 | Jun 5, 2026 |
| npm | sentemo: 2.5.63 | Jun 5, 2026 |
| npm | sentemo: 2.5.64 | Jun 5, 2026 |
| npm | sentemo: 2.5.65 | Jun 5, 2026 |
| npm | sentemo: 2.5.66 | Jun 5, 2026 |
| npm | sentemo: 2.5.69 | Jun 5, 2026 |
Sekurigu Viajn Malfermitkodajn Dependecojn kontraŭ Vundeblecoj kaj Malica Kodo
Ne lasu malicajn pakaĵojn atingi vian pipelines. Frua Detekto de Malica Programaro de Xygeni donas al via teamo realtempan videblecon pri la plej gravaj minacoj, kaptante malutilajn dependecojn antaŭ ol ili iam ajn tuŝas vian programaron.
Kiel la ĉi-semajna resumo klarigas, la volumeno kaj sofistikeco de malicaj pakaĵkampanjoj ne malrapidiĝas. Kunordigita versinundo, imitado de pagmoduloj kaj interne sonantaj pakaĵnomoj estas nur kelkaj el la taktikoj, kiujn atakantoj uzas por preterpasi ilin. standard defendoj. Antaŭi ĉi tiujn minacojn postulas pli ol periodajn reviziojn, ĝi postulas kontinuan monitoradon tra ĉiu registro, de kiu viaj teamoj dependas.
Ksgenio Open Source Security Solvo skanas kaj blokas damaĝajn pakaĵojn ĉe la publikiga punkto, tra npm, PyPI, kaj pretere. Per kontekste prioritatigo de la vundeblecoj, kiuj prezentas la plej grandan realmondan riskon (kaj raciigo de la ripara vojo por viaj DevSecOps-teamoj), Xygeni helpas vin konservi sekuran, fidindan programaran liveradon sen malrapidigi disvolviĝon.




