Lähes joka viikkohaittaohjelmien tunnistusjärjestelmämme skannaavat tuhansia uusia ja päivitettyjä paketteja julkisista rekistereistä, kuten npm:stä ja PyPI:stä. Tämä viikko oli erittäin aktiivinen.
Vahvistimme 198 XNUMX haitallista pakettia, pääasiassa npm:n osalta, ja lisäksi tapauksia havaittiin PyPI-, OpenVSX-, Composer- ja VS Code -laajennuksissa. Useita tapauksia esiintyi koordinoiduissa klustereissa, ja toistuvia haitallisia julkaisuja julkaistiin samoilla nimillä tai läheisesti toisiinsa liittyvissä pakettiperheissä. Eräs erottuva tapaus oli sensivity paketti, joka täytti npm:n yli 60 versioidulla julkaisulla 2.5.x-sarjassa. Muita merkittäviä klustereita olivat ai-sdk-helpers (8 versiota, jotka on suunnattu tekoälykehittäjille) @antoncallahan/aws-user-helper (7 versiota, jotka tekeytyvät AWS-apuohjelmaksi), @apple-pay-trust ja @google-pay-trust perheet (jotka jäljittelevät maksu- ja kassamoduuleja), @frengki0707/google-cloud-clone (5 versiota, jotka jäljittelevät Google Cloudia) ja cms-storehub, cms-helpgitja cms-github (kohdistaminen sisällönhallintajärjestelmiin pipelines). Monet paketit matkivat maksu- ja kassamoduuleja, enterprise ja sisäisiä verkkopaketteja, analytiikkaohjelmia, käyttöliittymän perustaa, kehittäjäapuohjelmia, komponenttien tutkijoita, pilvi- ja Google-teemaisia paketteja sekä muita moduuleja, joihin yleisesti luotetaan nykyaikaisissa kehitystyönkuluissa.
Nämä eivät olleet yksittäisiä poikkeamia. Tällä viikolla silmiinpistävää oli samojen pakettiperheiden toistuvan julkaisemisen laajuus, nimeämismallien uudelleenkäyttö ja tapa, jolla haitalliset paketit naamioitiin näyttämään laillisilta riippuvuuksilta oikeiden ohjelmistotoimitusten sisällä. pipelines.
Tämä viikoittainen tilannekuva on osa jatkuvaa haittaohjelmakoodin yhteenvetoa, jossa validoimme uusia uhkia ja tarjoamme toimintakelpoista tietoa auttaaksemme DevSecOps-tiimejä suojaamaan omia uhkiaan. pipelines ennen kuin vahinko tapahtuu.
Puretaanpa, mitä tällä viikolla löysimme ja miksi se on tärkeää.
| ekosysteemi | Paketti | Päivämäärä |
|---|---|---|
| NPM | @cloudplatform-single-spa/administration:99.99.100 | Voi 30, 2026 |
| NPM | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Voi 30, 2026 |
| NPM | @maximvs1538/os-npm:99.0.0 | Voi 30, 2026 |
| NPM | @helppo-sisäänpääsy/laskeutumisreitit:99.9.5 | Voi 30, 2026 |
| NPM | @easy-entry/outside-registration-fop-navigator:99.9.5 | Voi 30, 2026 |
| NPM | @easy-entry/routes:99.9.5 | Voi 30, 2026 |
| NPM | @t-in-one/form_product_token:5.7.1 | Voi 30, 2026 |
| NPM | @capibar.chat/ui-kit:99.5.7 | Voi 30, 2026 |
| vscode | xampp-manager:5.1.3 | Voi 30, 2026 |
| NPM | @chat-template/auth:1.0.0 | Voi 31, 2026 |
| NPM | json-to-simple-graphql-schema:1.0.0 | Kesäkuu 1, 2026 |
| NPM | @gs-select/savings-client-application:99.0.0 | Kesäkuu 1, 2026 |
| NPM | nemo-reporter:1.8.2 | Kesäkuu 1, 2026 |
| NPM | cms-github:4.2.4 | Kesäkuu 1, 2026 |
| NPM | cms-helpgit:4.2.6 | Kesäkuu 1, 2026 |
| NPM | cms-helpgit:4.2.8 | Kesäkuu 1, 2026 |
| NPM | cms-storehub:1.3.4 | Kesäkuu 1, 2026 |
| NPM | cms-storehub:1.3.5 | Kesäkuu 1, 2026 |
| NPM | cms-storehub:1.3.6 | Kesäkuu 1, 2026 |
| pypi | simptooreal-cli:0.3.0 | Kesäkuu 1, 2026 |
| NPM | vähittäiskaupan sijaintistrategian käyttöliittymä: 1.1.1 | Kesäkuu 1, 2026 |
| NPM | vähittäiskaupan sijaintistrategian käyttöliittymä: 1.1.2 | Kesäkuu 1, 2026 |
| NPM | conversa-sdk:2.0.2 | Kesäkuu 1, 2026 |
| NPM | Veltrix:9.0.0 | Kesäkuu 1, 2026 |
| NPM | Veltrix:9.0.1 | Kesäkuu 1, 2026 |
| NPM | jingmeideshishi: 1.0.4 | Kesäkuu 1, 2026 |
| NPM | jingmeideshishi: 1.0.5 | Kesäkuu 1, 2026 |
| NPM | @tse-digital/core:99.0.0 | Kesäkuu 1, 2026 |
| NPM | @telenor-se/core:99.0.0 | Kesäkuu 1, 2026 |
| NPM | @ownit/ydin:99.0.0 | Kesäkuu 1, 2026 |
| NPM | potilasasiakirjat: 75.0.0 | Kesäkuu 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.69 | Kesäkuu 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.68 | Kesäkuu 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.82 | Kesäkuu 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.80 | Kesäkuu 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.81 | Kesäkuu 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.83 | Kesäkuu 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.3 | Kesäkuu 1, 2026 |
| NPM | @emcd-vue/auth:6.4.9 | Kesäkuu 1, 2026 |
| NPM | @emcd-vue/b2b-pay-form:5.7.4 | Kesäkuu 1, 2026 |
| NPM | @ccrm/user-storage-api-axios:5.0.1 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.8 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.12 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.16 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.17 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.18 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.19 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.20 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.21 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.22 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.23 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.24 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.25 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.26 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.27 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.28 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.29 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.30 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.31 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.32 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.41 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.42 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.43 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.44 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.45 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.46 | Kesäkuu 2, 2026 |
| NPM | meoo-ui-helpers:1.0.1 | Kesäkuu 2, 2026 |
| NPM | @langgraphjs/toolkit:1.2.10 | Kesäkuu 2, 2026 |
| NPM | eyevox:9.0.1 | Kesäkuu 2, 2026 |
| NPM | herkkyys: 2.5.53 | Kesäkuu 3, 2026 |
| NPM | herkkyys: 2.5.54 | Kesäkuu 3, 2026 |
| NPM | herkkyys: 2.5.55 | Kesäkuu 3, 2026 |
| NPM | herkkyys: 2.5.56 | Kesäkuu 3, 2026 |
| NPM | herkkyys: 2.5.57 | Kesäkuu 3, 2026 |
| NPM | herkkyys: 2.5.61 | Kesäkuu 3, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.1 | Kesäkuu 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.2 | Kesäkuu 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.5 | Kesäkuu 4, 2026 |
| NPM | varainkeruupalvelu: 1.0.0 | Kesäkuu 4, 2026 |
| NPM | herkkyys: 2.5.67 | Kesäkuu 4, 2026 |
| NPM | herkkyys: 2.5.68 | Kesäkuu 4, 2026 |
| NPM | vg-vuorovaikutusmalli:40.0.5 | Kesäkuu 4, 2026 |
| NPM | internallib_v346:1.0.3 | Kesäkuu 4, 2026 |
| NPM | internallib_v346:1.0.5 | Kesäkuu 4, 2026 |
| NPM | internallib_v346:1.0.9 | Kesäkuu 4, 2026 |
| NPM | ai-sdk-helpers:0.2.1 | Kesäkuu 4, 2026 |
| NPM | ai-sdk-helpers:0.3.0 | Kesäkuu 4, 2026 |
| NPM | ai-sdk-helpers:0.3.1 | Kesäkuu 4, 2026 |
| NPM | ai-sdk-helpers:1.1.0 | Kesäkuu 4, 2026 |
| NPM | ai-sdk-helpers:1.1.1 | Kesäkuu 4, 2026 |
| NPM | ai-sdk-helpers:1.3.0 | Kesäkuu 4, 2026 |
| NPM | ai-sdk-helpers:1.4.0 | Kesäkuu 4, 2026 |
| NPM | ai-sdk-helpers:1.4.2 | Kesäkuu 4, 2026 |
| NPM | @achuthvp/postinstall-poc:1.0.3 | Kesäkuu 4, 2026 |
| NPM | herkkyys: 2.5.0 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.1 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.2 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.3 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.4 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.5 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.13 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.14 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.15 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.33 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.34 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.35 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.36 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.37 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.38 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.58 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.59 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.60 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.62 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.63 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.64 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.65 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.66 | Kesäkuu 5, 2026 |
| NPM | herkkyys: 2.5.69 | Kesäkuu 5, 2026 |
Suojaa avoimen lähdekoodin riippuvuutesi haavoittuvuuksilta ja haitalliselta koodilta
Älä anna haitallisten pakettien päästä käsiksi pipelines. Xygeni-haittaohjelmien varhainen havaitseminen antaa tiimillesi reaaliaikaisen näkyvyyden tärkeimpiin uhkiin ja havaitsee haitalliset riippuvuudet ennen kuin ne koskettavat ohjelmistoasi.
Kuten tämän viikon tiivistelmästä käy ilmi, haitallisten pakettikampanjoiden määrä ja hienostuneisuus eivät ole hidastumassa. Koordinoitu versiotulva, maksumoduulien henkilöllisyyden anastus ja sisäiseltä kuulostavat pakettien nimet ovat vain muutamia taktiikoista, joita hyökkääjät käyttävät päästäkseen ohi. standard puolustukset. Näiden uhkien edellä pysyminen vaatii enemmän kuin säännöllisiä tarkastuksia, se vaatii jatkuvaa valvontaa jokaisessa rekisterissä, josta tiimisi ovat riippuvaisia.
Xygenin Open Source Security Ratkaisu skannaa ja estää haitalliset paketit julkaisuhetkellä, npm:ssä, PyPI:ssä ja muissa menetelmissä. Priorisoimalla kontekstin mukaan haavoittuvuudet, jotka aiheuttavat suurimman todellisen riskin (ja virtaviivaistamalla DevSecOps-tiimisi korjauspolkua), Xygeni auttaa sinua ylläpitämään turvallista ja luotettavaa ohjelmistotoimitusta hidastamatta kehitystä.




