تقریباً هر هفتهسیستمهای تشخیص بدافزار ما هزاران بسته جدید و بهروز شده را در رجیستریهای عمومی مانند npm و PyPI اسکن میکنند. این هفته بسیار فعال بود.
تایید کردیم. ۱۳۵ بستهی مخرب، عمدتاً در سراسر npm، و موارد اضافی در افزونههای PyPI، OpenVSX، Composer و VS Code. چندین مورد در خوشههای هماهنگ ظاهر شدند، و نسخههای مخرب مکرر تحت نامهای یکسان یا در خانوادههای بستهای نزدیک به هم منتشر شدند. یک مورد برجسته، sensivity بستهای که npm را با بیش از ۶۰ نسخه منتشر شده در محدوده ۲.۵.x پر کرد. سایر خوشههای قابل توجه شامل ai-sdk-helpers (۸ نسخه که توسعهدهندگان هوش مصنوعی را هدف قرار میدهند) @antoncallahan/aws-user-helper (۷ نسخه که یک ابزار AWS را جعل میکنند)، @apple-pay-trust و @google-pay-trust خانوادهها (تقلید از ماژولهای پرداخت و تسویه حساب)، @frengki0707/google-cloud-clone (۵ نسخه که گوگل کلود را جعل میکنند) و cms-storehub, cms-helpgitو cms-github (هدف قرار دادن CMS pipelineبسیاری از بستهها از ماژولهای پرداخت و تسویه حساب تقلید میکردند، enterprise و بستههای وب داخلی، کلاینتهای تحلیلی، مبانی رابط کاربری، ابزارهای توسعهدهندگان، کاوشگرهای کامپوننت، بستههای ابری و با تم گوگل و سایر ماژولهایی که معمولاً در گردشهای کاری توسعه مدرن مورد اعتماد هستند.
اینها ناهنجاریهای مجزا نبودند. آنچه این هفته برجسته بود، مقیاس انتشار مکرر در خانوادههای بستههای مشابه، استفاده مجدد از الگوهای نامگذاری و نحوه پنهانسازی بستههای مخرب برای شبیه شدن به وابستگیهای مشروع در ارائه نرمافزار واقعی بود. pipelines.
این اسنپشات هفتگی بخشی از خلاصه کدهای مخرب (Malicious Code Digest) مداوم ماست که در آن تهدیدات جدید را اعتبارسنجی میکنیم و اطلاعات کاربردی را برای کمک به تیمهای DevSecOps در محافظت از آنها ارائه میدهیم. pipelineقبل از اینکه آسیبی رخ دهد.
بیایید آنچه را که این هفته پیدا کردیم و دلیل اهمیت آن را بررسی کنیم.
| اکوسیستم | بسته | تاریخ |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | در حال بررسی 30، 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | در حال بررسی 30، 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | در حال بررسی 30، 2026 |
| npm | @easy-entry/landing-routes: 99.9.5 | در حال بررسی 30، 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | در حال بررسی 30، 2026 |
| npm | @easy-entry/routes:99.9.5 | در حال بررسی 30، 2026 |
| npm | @t-in-one/form_product_token: 5.7.1 | در حال بررسی 30، 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | در حال بررسی 30، 2026 |
| vscode | مدیر xampp: نسخه ۵.۱.۳ | در حال بررسی 30، 2026 |
| npm | @chat-template/auth:1.0.0 | در حال بررسی 31، 2026 |
| npm | تبدیل json به طرحواره ساده graphql:1.0.0 | ژوئن 1، 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | ژوئن 1، 2026 |
| npm | خبرنگار نمو: ۱.۸.۲ | ژوئن 1، 2026 |
| npm | cms-github:4.2.4 | ژوئن 1، 2026 |
| npm | cms-helpgit:4.2.6 | ژوئن 1، 2026 |
| npm | cms-helpgit:4.2.8 | ژوئن 1، 2026 |
| npm | cms-storehub:1.3.4 | ژوئن 1، 2026 |
| npm | cms-storehub:1.3.5 | ژوئن 1، 2026 |
| npm | cms-storehub:1.3.6 | ژوئن 1، 2026 |
| pypi | simtooreal-cli:0.3.0 | ژوئن 1، 2026 |
| npm | استراتژی-مکان-خردهفروشی-ظاهر: ۱.۱.۲ | ژوئن 1، 2026 |
| npm | استراتژی-مکان-خردهفروشی-ظاهر: ۱.۱.۲ | ژوئن 1، 2026 |
| npm | مکالمه-sdk:2.0.2 | ژوئن 1، 2026 |
| npm | ولتریکس: ۹.۰.۱ | ژوئن 1، 2026 |
| npm | ولتریکس: ۹.۰.۱ | ژوئن 1، 2026 |
| npm | jingmeideshishi:1.0.4 | ژوئن 1، 2026 |
| npm | jingmeideshishi:1.0.5 | ژوئن 1، 2026 |
| npm | @tse-digital/core:99.0.0 | ژوئن 1، 2026 |
| npm | @telenor-se/core:99.0.0 | ژوئن 1، 2026 |
| npm | @ownit/core:99.0.0 | ژوئن 1، 2026 |
| npm | مدارک بیمار: 75.0.0 | ژوئن 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | ژوئن 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | ژوئن 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | ژوئن 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | ژوئن 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | ژوئن 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | ژوئن 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | ژوئن 1، 2026 |
| npm | @emcd-vue/auth:6.4.9 | ژوئن 1، 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | ژوئن 1، 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 2، 2026 |
| npm | meoo-ui-helpers:1.0.1 | ژوئن 2، 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | ژوئن 2، 2026 |
| npm | آیووکس: ۹.۰.۱ | ژوئن 2، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 3، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 3، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 3، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 3، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 3، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 3، 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | ژوئن 4، 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | ژوئن 4، 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | ژوئن 4، 2026 |
| npm | خدمات جمعآوری کمکهای مالی: ۱.۰.۰ | ژوئن 4، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 4، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 4، 2026 |
| npm | مدل-تعامل-vg:40.0.5 | ژوئن 4، 2026 |
| npm | داخلی_lib_v346:1.0.3 | ژوئن 4، 2026 |
| npm | داخلی_lib_v346:1.0.5 | ژوئن 4، 2026 |
| npm | داخلی_lib_v346:1.0.9 | ژوئن 4، 2026 |
| npm | ai-sdk-helpers: نسخه ۱.۴.۲ | ژوئن 4، 2026 |
| npm | ai-sdk-helpers: نسخه ۱.۴.۲ | ژوئن 4، 2026 |
| npm | ai-sdk-helpers: نسخه ۱.۴.۲ | ژوئن 4، 2026 |
| npm | ai-sdk-helpers: نسخه ۱.۴.۲ | ژوئن 4، 2026 |
| npm | ai-sdk-helpers: نسخه ۱.۴.۲ | ژوئن 4، 2026 |
| npm | ai-sdk-helpers: نسخه ۱.۴.۲ | ژوئن 4، 2026 |
| npm | ai-sdk-helpers: نسخه ۱.۴.۲ | ژوئن 4، 2026 |
| npm | ai-sdk-helpers: نسخه ۱.۴.۲ | ژوئن 4، 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | ژوئن 4، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
| npm | حساسیت: ۲.۵.۶۹ | ژوئن 5، 2026 |
وابستگیهای متنباز خود را در برابر آسیبپذیریها و کدهای مخرب ایمن کنید
اجازه ندهید بستههای مخرب به سیستم شما برسند pipelines. تشخیص زودهنگام بدافزار Xygeni به تیم شما امکان مشاهدهی لحظهای تهدیدات مهم را میدهد و وابستگیهای مضر را قبل از اینکه حتی به نرمافزار شما دست بزنند، شناسایی میکند.
همانطور که خلاصه این هفته روشن میکند، حجم و پیچیدگی کمپینهای بستههای مخرب کاهش نمییابد. سیل هماهنگ نسخه، جعل هویت ماژول پرداخت و نامهای بسته با ظاهری داخلی، تنها برخی از تاکتیکهایی هستند که مهاجمان برای عبور از آنها استفاده میکنند. standard دفاع. پیشی گرفتن از این تهدیدها به چیزی بیش از ممیزیهای دورهای نیاز دارد، بلکه مستلزم نظارت مستمر در تمام رجیستریهایی است که تیمهای شما به آنها وابسته هستند.
شیگنی Open Source Security این راهکار، بستههای مضر را در زمان انتشار، در سراسر npm، PyPI و فراتر از آن اسکن و مسدود میکند. با اولویتبندی زمینهای آسیبپذیریهایی که بزرگترین خطر در دنیای واقعی را ایجاد میکنند (و سادهسازی مسیر اصلاح برای تیمهای DevSecOps شما)، Xygeni به شما کمک میکند تا تحویل نرمافزار ایمن و قابل اعتماد را بدون کند کردن توسعه، حفظ کنید.




