Peaaegu iga nädal, skannivad meie pahavara tuvastussüsteemid tuhandeid uusi ja uuendatud pakette avalikes registrites, näiteks npm ja PyPI. See nädal oli väga aktiivne.
Me kinnitasime 198 pahatahtlikku paketti, peamiselt npm-i ulatuses, lisaks PyPI, OpenVSX, Composer ja VS Code laiendustes. Mitmed neist esinesid koordineeritud klastrites, kusjuures korduvaid pahatahtlikke väljaandeid avaldati samade nimede all või tihedalt seotud paketiperekondades. Silmapaistev juhtum oli sensivity pakett, mis ujutas npm-i üle enam kui 60 versioonitud väljalaskega 2.5.x vahemikus. Teiste märkimisväärsete klastrite hulka kuulusid ai-sdk-helpers (8 versiooni, mis on suunatud tehisintellekti arendajatele) @antoncallahan/aws-user-helper (7 versiooni, mis imiteerivad AWS-i utiliiti), @apple-pay-trust ja @google-pay-trust perekonnad (maksekorraldusmoodulite jäljendamine), @frengki0707/google-cloud-clone (5 versiooni, mis võltsivad Google Cloudi) ja cms-storehub, cms-helpgitja cms-github (sihitud sisuhaldussüsteemidele) pipelines). Paljud paketid matkisid makse- ja kassamooduleid, enterprise ja sisemised veebipaketid, analüütikakliendid, kasutajaliidese alused, arendusutiliidid, komponentide uurijad, pilve- ja Google'i-teemalised paketid ning muud moodulid, mida tänapäevastes arendusvoogudes tavaliselt usaldatakse.
Need ei olnud isoleeritud anomaaliad. Sel nädalal torkas silma korduva avaldamise ulatus samades paketiperedes, nimetamismustrite taaskasutamine ja viis, kuidas pahatahtlikke pakette maskeeriti nii, et need näeksid välja nagu legitiimsed sõltuvused päris tarkvarapaketi sees. pipelines.
See iganädalane ülevaade on osa meie käimasolevast pahatahtliku koodi ülevaatest, kus valideerime uusi ohte ja pakume tegutsemiskõlblikku teavet, et aidata DevSecOpsi meeskondadel oma ressursse kaitsta. pipelines enne kahju tekkimist.
Vaatleme lähemalt, mida me sel nädalal leidsime ja miks see on oluline.
| Ökosüsteemi | Pakend | kuupäev |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | Võib 30 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Võib 30 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Võib 30 2026 |
| npm | @lihtne-sisenemine/maandumismarsruudid:99.9.5 | Võib 30 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | Võib 30 2026 |
| npm | @lihtne-sisenemine/marsruudid:99.9.5 | Võib 30 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Võib 30 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Võib 30 2026 |
| vscode | xampp-manager:5.1.3 | Võib 30 2026 |
| npm | @chat-template/auth:1.0.0 | Võib 31 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | Juuni 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Juuni 1, 2026 |
| npm | nemo-reporter: 1.8.2 | Juuni 1, 2026 |
| npm | cms-github:4.2.4 | Juuni 1, 2026 |
| npm | cms-helpgit:4.2.6 | Juuni 1, 2026 |
| npm | cms-helpgit:4.2.8 | Juuni 1, 2026 |
| npm | cms-storehub:1.3.4 | Juuni 1, 2026 |
| npm | cms-storehub:1.3.5 | Juuni 1, 2026 |
| npm | cms-storehub:1.3.6 | Juuni 1, 2026 |
| pypi | simpooreal-cli:0.3.0 | Juuni 1, 2026 |
| npm | jaemüügi asukoha strateegia esikülg: 1.1.1 | Juuni 1, 2026 |
| npm | jaemüügi asukoha strateegia esikülg: 1.1.2 | Juuni 1, 2026 |
| npm | conversa-sdk:2.0.2 | Juuni 1, 2026 |
| npm | veltrix:9.0.0 | Juuni 1, 2026 |
| npm | veltrix:9.0.1 | Juuni 1, 2026 |
| npm | jingmeideshishi: 1.0.4 | Juuni 1, 2026 |
| npm | jingmeideshishi: 1.0.5 | Juuni 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Juuni 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Juuni 1, 2026 |
| npm | @ownit/core:99.0.0 | Juuni 1, 2026 |
| npm | patsiendidokumendid: 75.0.0 | Juuni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Juuni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Juuni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Juuni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Juuni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Juuni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Juuni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Juuni 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Juuni 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | Juuni 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.8 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.12 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.16 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.17 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.18 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.19 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.20 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.21 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.22 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.23 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.24 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.25 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.26 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.27 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.28 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.29 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.30 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.31 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.32 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.41 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.42 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.43 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.44 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.45 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.46 | Juuni 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | Juuni 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Juuni 2, 2026 |
| npm | eyevox:9.0.1 | Juuni 2, 2026 |
| npm | tundlikkus: 2.5.53 | Juuni 3, 2026 |
| npm | tundlikkus: 2.5.54 | Juuni 3, 2026 |
| npm | tundlikkus: 2.5.55 | Juuni 3, 2026 |
| npm | tundlikkus: 2.5.56 | Juuni 3, 2026 |
| npm | tundlikkus: 2.5.57 | Juuni 3, 2026 |
| npm | tundlikkus: 2.5.61 | Juuni 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Juuni 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Juuni 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Juuni 4, 2026 |
| npm | heategevusteenus: 1.0.0 | Juuni 4, 2026 |
| npm | tundlikkus: 2.5.67 | Juuni 4, 2026 |
| npm | tundlikkus: 2.5.68 | Juuni 4, 2026 |
| npm | vg-interaction-model:40.0.5 | Juuni 4, 2026 |
| npm | internallib_v346:1.0.3 | Juuni 4, 2026 |
| npm | internallib_v346:1.0.5 | Juuni 4, 2026 |
| npm | internallib_v346:1.0.9 | Juuni 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 | Juuni 4, 2026 |
| npm | ai-sdk-helpers:0.3.0 | Juuni 4, 2026 |
| npm | ai-sdk-helpers:0.3.1 | Juuni 4, 2026 |
| npm | ai-sdk-helpers:1.1.0 | Juuni 4, 2026 |
| npm | ai-sdk-helpers:1.1.1 | Juuni 4, 2026 |
| npm | ai-sdk-helpers:1.3.0 | Juuni 4, 2026 |
| npm | ai-sdk-helpers:1.4.0 | Juuni 4, 2026 |
| npm | ai-sdk-helpers:1.4.2 | Juuni 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Juuni 4, 2026 |
| npm | tundlikkus: 2.5.0 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.1 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.2 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.3 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.4 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.5 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.13 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.14 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.15 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.33 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.34 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.35 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.36 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.37 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.38 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.58 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.59 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.60 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.62 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.63 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.64 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.65 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.66 | Juuni 5, 2026 |
| npm | tundlikkus: 2.5.69 | Juuni 5, 2026 |
Kaitske oma avatud lähtekoodiga tarkvara haavatavuste ja pahatahtliku koodi eest
Ära lase pahatahtlikel pakettidel oma pipelines. Xygeni varajane pahavara tuvastamine annab teie meeskonnale reaalajas ülevaate kõige olulisematest ohtudest, tuvastades kahjulikud sõltuvused enne, kui need teie tarkvaraga kokku puutuvad.
Nagu selle nädala kokkuvõte selgelt näitab, ei ole pahatahtlike pakettide kampaaniate maht ja keerukus aeglustumas. Koordineeritud versioonide üleujutus, maksemoodulite jäljendamine ja sisemiselt kõlavad pakettide nimed on vaid mõned taktikad, mida ründajad kasutavad, et neist mööda hiilida. standard kaitsemeetmed. Nende ohtude ennetamine nõuab enamat kui regulaarseid auditeid, see nõuab pidevat jälgimist igas registris, millest teie meeskonnad sõltuvad.
Xygeni oma Open Source Security Lahendus skannib ja blokeerib kahjulikke pakette avaldamise hetkel, nii npm-is, PyPI-s kui ka mujal. Xygeni aitab teil säilitada turvalist ja usaldusväärset tarkvaratarnet, aeglustamata arendust, kontekstuaalselt prioritiseerides haavatavusi, mis kujutavad endast suurimat reaalset riski (ja lihtsustades teie DevSecOps meeskondade parandusmeetodit).




