Presque chaque semaineNos systèmes de détection de logiciels malveillants analysent des milliers de paquets nouveaux et mis à jour sur des registres publics comme npm et PyPI. Cette semaine a été particulièrement active.
Nous avons confirmé 198 XNUMX packages malveillants, principalement sur npm, avec des cas supplémentaires sur PyPI, OpenVSX, Composer et les extensions VS Code. Plusieurs sont apparus en groupes coordonnés, avec des versions malveillantes répétées publiées sous les mêmes noms ou au sein de familles de paquets étroitement liées. Un cas particulièrement marquant était le sensivity Ce paquet a inondé npm de plus de 60 versions différentes dans la gamme 2.5.x. Parmi les autres clusters notables, on peut citer : ai-sdk-helpers (8 versions destinées aux développeurs d'IA), @antoncallahan/aws-user-helper (7 versions se faisant passer pour un service AWS), @apple-pay-trust et @google-pay-trust familles (imitant les modules de paiement en caisse), @frengki0707/google-cloud-clone (5 versions usurpant l'identité de Google Cloud), et cms-storehub, cms-helpgit et cms-github (ciblant les CMS) pipelines). De nombreux logiciels imitaient les modules de paiement et de validation de commande. enterprise et des packages web internes, des clients d'analyse, des bases d'interface utilisateur, des utilitaires de développement, des explorateurs de composants, des packages sur le thème du cloud et de Google, et d'autres modules couramment utilisés dans les flux de travail de développement modernes.
Il ne s'agissait pas d'anomalies isolées. Ce qui a particulièrement retenu l'attention cette semaine, c'est l'ampleur des publications répétées au sein des mêmes familles de paquets, la réutilisation des mêmes conventions de nommage et la manière dont les paquets malveillants étaient dissimulés pour se faire passer pour des dépendances légitimes au sein de distributions logicielles réelles. pipelines.
Ce résumé hebdomadaire fait partie de notre bulletin continu sur les codes malveillants, dans lequel nous validons les nouvelles menaces et fournissons des renseignements exploitables pour aider les équipes DevSecOps à protéger leurs systèmes. pipelineavant que des dommages ne surviennent.
Décomposons ce que nous avons trouvé cette semaine et pourquoi c'est important.
| Écosystème | Forfait | Date |
|---|---|---|
| NPM | @cloudplatform-single-spa/administration:99.99.100 | 30 mai 2026 |
| NPM | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 mai 2026 |
| NPM | @maximvs1538/os-npm:99.0.0 | 30 mai 2026 |
| NPM | @easy-entry/landing-routes:99.9.5 | 30 mai 2026 |
| NPM | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30 mai 2026 |
| NPM | @easy-entry/routes:99.9.5 | 30 mai 2026 |
| NPM | @t-in-one/form_product_token:5.7.1 | 30 mai 2026 |
| NPM | @capibar.chat/ui-kit:99.5.7 | 30 mai 2026 |
| vscode | xampp-manager:5.1.3 | 30 mai 2026 |
| NPM | @chat-template/auth:1.0.0 | 31 mai 2026 |
| NPM | json-to-simple-graphql-schema:1.0.0 | Le 1 juin 2026 |
| NPM | @gs-select/savings-client-application:99.0.0 | Le 1 juin 2026 |
| NPM | nemo-reporter:1.8.2 | Le 1 juin 2026 |
| NPM | cms-github:4.2.4 | Le 1 juin 2026 |
| NPM | cms-helpgit:4.2.6 | Le 1 juin 2026 |
| NPM | cms-helpgit:4.2.8 | Le 1 juin 2026 |
| NPM | cms-storehub:1.3.4 | Le 1 juin 2026 |
| NPM | cms-storehub:1.3.5 | Le 1 juin 2026 |
| NPM | cms-storehub:1.3.6 | Le 1 juin 2026 |
| pypi | simtooreal-cli:0.3.0 | Le 1 juin 2026 |
| NPM | stratégie d'emplacement de vente au détail - interface utilisateur : 1.1.1 | Le 1 juin 2026 |
| NPM | stratégie d'emplacement de vente au détail - interface utilisateur : 1.1.2 | Le 1 juin 2026 |
| NPM | conversa-sdk:2.0.2 | Le 1 juin 2026 |
| NPM | veltrix:9.0.0 | Le 1 juin 2026 |
| NPM | veltrix:9.0.1 | Le 1 juin 2026 |
| NPM | jingmeideshishi:1.0.4 | Le 1 juin 2026 |
| NPM | jingmeideshishi:1.0.5 | Le 1 juin 2026 |
| NPM | @tse-digital/core:99.0.0 | Le 1 juin 2026 |
| NPM | @telenor-se/core:99.0.0 | Le 1 juin 2026 |
| NPM | @ownit/core:99.0.0 | Le 1 juin 2026 |
| NPM | documents du patient : 75.0.0 | Le 1 juin 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.69 | Le 1 juin 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.68 | Le 1 juin 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.82 | Le 1 juin 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.80 | Le 1 juin 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.81 | Le 1 juin 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.83 | Le 1 juin 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.3 | Le 1 juin 2026 |
| NPM | @emcd-vue/auth:6.4.9 | Le 1 juin 2026 |
| NPM | @emcd-vue/b2b-pay-form:5.7.4 | Le 1 juin 2026 |
| NPM | @ccrm/user-storage-api-axios:5.0.1 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.8 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.12 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.16 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.17 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.18 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.19 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.20 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.21 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.22 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.23 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.24 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.25 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.26 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.27 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.28 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.29 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.30 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.31 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.32 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.41 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.42 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.43 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.44 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.45 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.46 | Le 2 juin 2026 |
| NPM | meoo-ui-helpers:1.0.1 | Le 2 juin 2026 |
| NPM | @langgraphjs/toolkit:1.2.10 | Le 2 juin 2026 |
| NPM | eyevox:9.0.1 | Le 2 juin 2026 |
| NPM | sensibilité : 2.5.53 | Le 3 juin 2026 |
| NPM | sensibilité : 2.5.54 | Le 3 juin 2026 |
| NPM | sensibilité : 2.5.55 | Le 3 juin 2026 |
| NPM | sensibilité : 2.5.56 | Le 3 juin 2026 |
| NPM | sensibilité : 2.5.57 | Le 3 juin 2026 |
| NPM | sensibilité : 2.5.61 | Le 3 juin 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.1 | Le 4 juin 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.2 | Le 4 juin 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.5 | Le 4 juin 2026 |
| NPM | fundraiserserv:1.0.0 | Le 4 juin 2026 |
| NPM | sensibilité : 2.5.67 | Le 4 juin 2026 |
| NPM | sensibilité : 2.5.68 | Le 4 juin 2026 |
| NPM | vg-interaction-model:40.0.5 | Le 4 juin 2026 |
| NPM | internallib_v346:1.0.3 | Le 4 juin 2026 |
| NPM | internallib_v346:1.0.5 | Le 4 juin 2026 |
| NPM | internallib_v346:1.0.9 | Le 4 juin 2026 |
| NPM | ai-sdk-helpers:0.2.1 | Le 4 juin 2026 |
| NPM | ai-sdk-helpers:0.3.0 | Le 4 juin 2026 |
| NPM | ai-sdk-helpers:0.3.1 | Le 4 juin 2026 |
| NPM | ai-sdk-helpers:1.1.0 | Le 4 juin 2026 |
| NPM | ai-sdk-helpers:1.1.1 | Le 4 juin 2026 |
| NPM | ai-sdk-helpers:1.3.0 | Le 4 juin 2026 |
| NPM | ai-sdk-helpers:1.4.0 | Le 4 juin 2026 |
| NPM | ai-sdk-helpers:1.4.2 | Le 4 juin 2026 |
| NPM | @achuthvp/postinstall-poc:1.0.3 | Le 4 juin 2026 |
| NPM | sensibilité : 2.5.0 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.1 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.2 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.3 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.4 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.5 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.13 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.14 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.15 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.33 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.34 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.35 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.36 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.37 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.38 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.58 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.59 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.60 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.62 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.63 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.64 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.65 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.66 | Le 5 juin 2026 |
| NPM | sensibilité : 2.5.69 | Le 5 juin 2026 |
Sécurisez vos dépendances Open Source contre les vulnérabilités et les codes malveillants
Ne laissez pas les colis malveillants atteindre votre pipelines. Détection précoce des logiciels malveillants Xygeni offre à votre équipe une visibilité en temps réel sur les menaces les plus importantes, en détectant les dépendances nuisibles avant même qu'elles n'affectent votre logiciel.
Comme le montre clairement le résumé de cette semaine, le volume et la sophistication des campagnes de distribution de paquets malveillants ne faiblissent pas. Les attaques par inondation de versions coordonnées, l'usurpation d'identité de modules de paiement et les noms de paquets à consonance interne ne sont que quelques-unes des tactiques utilisées par les attaquants pour contourner les systèmes de sécurité. standard Défenses. Pour garder une longueur d'avance sur ces menaces, il faut plus que des audits périodiques ; cela exige une surveillance continue de tous les registres dont vos équipes dépendent.
Xygéni Open Source Security La solution analyse et bloque les paquets malveillants dès leur publication, sur npm, PyPI et d'autres plateformes. En priorisant les vulnérabilités présentant le plus grand risque concret (et en simplifiant le processus de correction pour vos équipes DevSecOps), Xygeni vous aide à garantir une livraison de logiciels sécurisée et fiable sans ralentir le développement.




