Case todas as semanas, os nosos sistemas de detección de software malicioso analizan miles de paquetes novos e actualizados en rexistros públicos como npm e PyPI. Esta semana foi moi activa.
Confirmamos 198 paquetes maliciosos, principalmente en npm, con casos adicionais en extensións PyPI, OpenVSX, Composer e VS Code. Varios apareceron en clústeres coordinados, con repetidas versións maliciosas publicadas cos mesmos nomes ou en familias de paquetes estreitamente relacionadas. Un caso destacado foi o sensivity paquete, que inundou npm con máis de 60 versións en todo o rango 2.5.x. Outros clústeres notables incluían ai-sdk-helpers (8 versións dirixidas a desenvolvedores de IA) @antoncallahan/aws-user-helper (7 versións que suplantan unha utilidade de AWS), @apple-pay-trust @google-pay-trust familias (imitando módulos de pago e finalización da compra), @frengki0707/google-cloud-clone (5 versións que imitan Google Cloud) e cms-storehub, cms-helpgite cms-github (orientado a CMS pipelines). Moitos paquetes imitaban módulos de pagamento e finalización da compra, enterprise e paquetes web internos, clientes de análise, bases de interface de usuario, utilidades para desenvolvedores, exploradores de compoñentes, paquetes con temática na nube e Google e outros módulos nos que se confía habitualmente nos fluxos de traballo de desenvolvemento modernos.
Non se trataba de anomalías illadas. O que destacou esta semana foi a escala de publicacións repetidas nas mesmas familias de paquetes, a reutilización de patróns de nomes e o xeito en que os paquetes maliciosos se disfrazaban para parecer dependencias lexítimas dentro da entrega de software real. pipelines.
Esta instantánea semanal forma parte do noso resumo de código malicioso, no que validamos novas ameazas e proporcionamos información práctica para axudar aos equipos de DevSecOps a protexer os seus... pipelines antes de que se produzan danos.
Analicemos o que atopamos esta semana e por que é importante.
| Ecosystem | Paquete | data |
|---|---|---|
| npm | @cloudplatform-single-spa/administración:99.99.100 | Pode 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Pode 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Pode 30, 2026 |
| npm | @rutas-de-entrada-facil/aterraxe:99.9.5 | Pode 30, 2026 |
| npm | @entrada-fácil/navegador-fop-de-rexistro-externo:99.9.5 | Pode 30, 2026 |
| npm | @entrada-fácil/rutas:99.9.5 | Pode 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Pode 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Pode 30, 2026 |
| vscode | xestor-xampp:5.1.3 | Pode 30, 2026 |
| npm | @modelo-de-chat/auth:1.0.0 | Pode 31, 2026 |
| npm | json-a-esquema-graphql-simple:1.0.0 | Xuño 1, 2026 |
| npm | @gs-select/aforro-cliente-aplicación:99.0.0 | Xuño 1, 2026 |
| npm | nemo-reporter:1.8.2 | Xuño 1, 2026 |
| npm | cms-github:4.2.4 | Xuño 1, 2026 |
| npm | cms-helpgit:4.2.6 | Xuño 1, 2026 |
| npm | cms-helpgit:4.2.8 | Xuño 1, 2026 |
| npm | cms-storehub:1.3.4 | Xuño 1, 2026 |
| npm | cms-storehub:1.3.5 | Xuño 1, 2026 |
| npm | cms-storehub:1.3.6 | Xuño 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Xuño 1, 2026 |
| npm | frontend da estratexia de localización comercial: 1.1.1 | Xuño 1, 2026 |
| npm | frontend da estratexia de localización comercial: 1.1.2 | Xuño 1, 2026 |
| npm | conversa-sdk:2.0.2 | Xuño 1, 2026 |
| npm | veltrix:9.0.0 | Xuño 1, 2026 |
| npm | veltrix:9.0.1 | Xuño 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Xuño 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Xuño 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Xuño 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Xuño 1, 2026 |
| npm | @ownit/core:99.0.0 | Xuño 1, 2026 |
| npm | documentosdopaciente:75.0.0 | Xuño 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Xuño 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Xuño 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Xuño 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Xuño 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Xuño 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Xuño 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Xuño 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Xuño 1, 2026 |
| npm | @emcd-vue/formulario-de-pago-b2b:5.7.4 | Xuño 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.8 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.12 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.16 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.17 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.18 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.19 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.20 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.21 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.22 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.23 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.24 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.25 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.26 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.27 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.28 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.29 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.30 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.31 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.32 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.41 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.42 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.43 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.44 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.45 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.46 | Xuño 2, 2026 |
| npm | axudantes-de-ui-de-meoo:1.0.1 | Xuño 2, 2026 |
| npm | @langgraphjs/conxunto de ferramentas:1.2.10 | Xuño 2, 2026 |
| npm | eyevox:9.0.1 | Xuño 2, 2026 |
| npm | sensibilidade: 2.5.53 | Xuño 3, 2026 |
| npm | sensibilidade: 2.5.54 | Xuño 3, 2026 |
| npm | sensibilidade: 2.5.55 | Xuño 3, 2026 |
| npm | sensibilidade: 2.5.56 | Xuño 3, 2026 |
| npm | sensibilidade: 2.5.57 | Xuño 3, 2026 |
| npm | sensibilidade: 2.5.61 | Xuño 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Xuño 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Xuño 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Xuño 4, 2026 |
| npm | recadación de fondosserv:1.0.0 | Xuño 4, 2026 |
| npm | sensibilidade: 2.5.67 | Xuño 4, 2026 |
| npm | sensibilidade: 2.5.68 | Xuño 4, 2026 |
| npm | modelo de interacción vg:40.0.5 | Xuño 4, 2026 |
| npm | internallib_v346:1.0.3 | Xuño 4, 2026 |
| npm | internallib_v346:1.0.5 | Xuño 4, 2026 |
| npm | internallib_v346:1.0.9 | Xuño 4, 2026 |
| npm | axudantes-ai-sdk:0.2.1 | Xuño 4, 2026 |
| npm | axudantes-ai-sdk:0.3.0 | Xuño 4, 2026 |
| npm | axudantes-ai-sdk:0.3.1 | Xuño 4, 2026 |
| npm | axudantes-ai-sdk:1.1.0 | Xuño 4, 2026 |
| npm | axudantes-ai-sdk:1.1.1 | Xuño 4, 2026 |
| npm | axudantes-ai-sdk:1.3.0 | Xuño 4, 2026 |
| npm | axudantes-ai-sdk:1.4.0 | Xuño 4, 2026 |
| npm | axudantes-ai-sdk:1.4.2 | Xuño 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Xuño 4, 2026 |
| npm | sensibilidade: 2.5.0 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.1 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.2 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.3 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.4 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.5 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.13 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.14 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.15 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.33 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.34 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.35 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.36 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.37 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.38 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.58 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.59 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.60 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.62 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.63 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.64 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.65 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.66 | Xuño 5, 2026 |
| npm | sensibilidade: 2.5.69 | Xuño 5, 2026 |
Protexa as súas dependencias de código aberto contra vulnerabilidades e código malicioso
Non deixes que paquetes maliciosos cheguen ao teu pipelines. Detección temperá de malware de Xygeni dálle ao teu equipo visibilidade en tempo real das ameazas máis importantes, detectando dependencias prexudiciais antes de que toquen o teu software.
Como deixa claro o resumo desta semana, o volume e a sofisticación das campañas de paquetes maliciosos non están a diminuír. A inundación coordinada de versións, a suplantación de módulos de pagamento e os nomes de paquetes que soan internos son só algunhas das tácticas que os atacantes están a usar para pasar desapercibidos. standard defensas. Manterse á vangarda destas ameazas require algo máis que auditorías periódicas, senón que esixe unha monitorización continua en todos os rexistros dos que dependen os seus equipos.
Xygeni's Open Source Security A solución analiza e bloquea paquetes prexudiciais no punto de publicación, en npm, PyPI e máis aló. Ao priorizar contextualmente as vulnerabilidades que supoñen o maior risco no mundo real (e simplificar a ruta de corrección para os seus equipos de DevSecOps), Xygeni axúdalle a manter unha entrega de software segura e fiable sen ralentizar o desenvolvemento.




