Գրեթե ամեն շաբաթ, մեր վնասակար ծրագրերի հայտնաբերման համակարգերը սկանավորում են հազարավոր նոր և թարմացված փաթեթներ հանրային գրանցամատյաններում, ինչպիսիք են npm-ը և PyPI-ն: Այս շաբաթը շատ ակտիվ էր:
Մենք հաստատեցինք 198 վնասակար փաթեթ, հիմնականում npm-ի միջոցով, լրացուցիչ դեպքերով՝ PyPI, OpenVSX, Composer և VS Code ընդլայնումներում: Մի քանիսը հայտնվել են համակարգված կլաստերներում՝ նույն անուններով կամ սերտորեն կապված փաթեթների ընտանիքներում հրապարակված բազմակի վնասակար թողարկումներով: Աչքի ընկնող դեպք էր sensivity փաթեթը, որը npm-ը ողողեց 2.5.x շարքի ավելի քան 60 տարբերակված թողարկումներով: Այլ նշանակալի կլաստերներից էին ai-sdk-helpers (8 տարբերակ, որոնք ուղղված են արհեստական բանականության մշակողներին), @antoncallahan/aws-user-helper (7 տարբերակ, որոնք նմանակում են AWS ծրագիրը), @apple-pay-trust և @google-pay-trust ընտանիքներ (վճարման մոդուլների նմանակմամբ), @frengki0707/google-cloud-clone (5 տարբերակ, որոնք կեղծում են Google Cloud-ը), և cms-storehub, cms-helpgit, եւ cms-github (CMS-ի թիրախավորում pipelineն)։ Շատ փաթեթներ ընդօրինակում էին վճարման և գնման մոդուլները, enterprise և ներքին վեբ փաթեթներ, վերլուծական հաճախորդներ, UI հիմնադրամներ, մշակողների համար նախատեսված օգտակար ծրագրեր, բաղադրիչների հետազոտողներ, ամպային և Google-ի թեմատիկ փաթեթներ և այլ մոդուլներ, որոնք լայնորեն վստահելի են ժամանակակից մշակման աշխատանքային հոսքերում։
Սրանք մեկուսացված անոմալիաներ չէին։ Այս շաբաթ աչքի ընկնողը նույն փաթեթների ընտանիքներում կրկնակի հրապարակումների մասշտաբն էր, անվանակոչման ձևերի վերօգտագործումը և այն ձևը, որով վնասակար փաթեթները քողարկվում էին իրական ծրագրային ապահովման մատակարարման մեջ առկա օրինական կախվածությունների նմանվելու համար։ pipelines.
Այս շաբաթական ամփոփումը մեր շարունակական «Վնասակար կոդի ամփոփագրի» մի մասն է, որտեղ մենք ստուգում ենք նոր սպառնալիքները և տրամադրում գործնական տվյալներ՝ DevSecOps թիմերին օգնելու պաշտպանել իրենց... pipelineմինչև վնասի առաջացումը։
Եկեք վերլուծենք, թե ինչ գտանք այս շաբաթ և ինչու է դա կարևոր։
| էկոհամակարգը | Փաթեթ | Ամսաթիվ |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | Մայիս 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Մայիս 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Մայիս 30, 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | Մայիս 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | Մայիս 30, 2026 |
| npm | @easy-entry/routes:99.9.5 | Մայիս 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Մայիս 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Մայիս 30, 2026 |
| vscode | xampp-մենեջեր: 5.1.3 | Մայիս 30, 2026 |
| npm | @chat-template/auth:1.0.0 | Մայիս 31, 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | Հուն 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Հուն 1, 2026 |
| npm | նեմո-թղթակից: 1.8.2 | Հուն 1, 2026 |
| npm | cms-github:4.2.4 | Հուն 1, 2026 |
| npm | cms-helpgit:4.2.6 | Հուն 1, 2026 |
| npm | cms-helpgit:4.2.8 | Հուն 1, 2026 |
| npm | cms-storehub:1.3.4 | Հուն 1, 2026 |
| npm | cms-storehub:1.3.5 | Հուն 1, 2026 |
| npm | cms-storehub:1.3.6 | Հուն 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Հուն 1, 2026 |
| npm | մանրածախ առևտրի տեղակայման ռազմավարության ինտերֆեյս՝ 1.1.1 | Հուն 1, 2026 |
| npm | մանրածախ առևտրի տեղակայման ռազմավարության ինտերֆեյս՝ 1.1.2 | Հուն 1, 2026 |
| npm | conversa-sdk:2.0.2 | Հուն 1, 2026 |
| npm | վելտրիքս: 9.0.0 | Հուն 1, 2026 |
| npm | վելտրիքս: 9.0.1 | Հուն 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Հուն 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Հուն 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Հուն 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Հուն 1, 2026 |
| npm | @ownit/core:99.0.0 | Հուն 1, 2026 |
| npm | հիվանդի փաստաթղթեր՝ 75.0.0 | Հուն 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Հուն 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Հուն 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Հուն 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Հուն 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Հուն 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Հուն 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Հուն 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Հուն 1, 2026 |
| npm | @emcd-vue/b2b-վճարման-ձև:5.7.4 | Հուն 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.8 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.12 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.16 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.17 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.18 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.19 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.20 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.21 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.22 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.23 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.24 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.25 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.26 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.27 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.28 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.29 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.30 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.31 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.32 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.41 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.42 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.43 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.44 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.45 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.46 | Հուն 2, 2026 |
| npm | meoo-ui-օգնականներ: 1.0.1 | Հուն 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Հուն 2, 2026 |
| npm | eyevox:9.0.1 | Հուն 2, 2026 |
| npm | զգայունություն՝ 2.5.53 | Հուն 3, 2026 |
| npm | զգայունություն՝ 2.5.54 | Հուն 3, 2026 |
| npm | զգայունություն՝ 2.5.55 | Հուն 3, 2026 |
| npm | զգայունություն՝ 2.5.56 | Հուն 3, 2026 |
| npm | զգայունություն՝ 2.5.57 | Հուն 3, 2026 |
| npm | զգայունություն՝ 2.5.61 | Հուն 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Հուն 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Հուն 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Հուն 4, 2026 |
| npm | դրամահավաքի ծառայություն՝ 1.0.0 | Հուն 4, 2026 |
| npm | զգայունություն՝ 2.5.67 | Հուն 4, 2026 |
| npm | զգայունություն՝ 2.5.68 | Հուն 4, 2026 |
| npm | vg-փոխազդեցության-մոդել՝ 40.0.5 | Հուն 4, 2026 |
| npm | internallib_v346:1.0.3 | Հուն 4, 2026 |
| npm | internallib_v346:1.0.5 | Հուն 4, 2026 |
| npm | internallib_v346:1.0.9 | Հուն 4, 2026 |
| npm | ai-sdk-օգնականներ՝ 0.2.1 | Հուն 4, 2026 |
| npm | ai-sdk-օգնականներ՝ 0.3.0 | Հուն 4, 2026 |
| npm | ai-sdk-օգնականներ՝ 0.3.1 | Հուն 4, 2026 |
| npm | ai-sdk-օգնականներ՝ 1.1.0 | Հուն 4, 2026 |
| npm | ai-sdk-օգնականներ՝ 1.1.1 | Հուն 4, 2026 |
| npm | ai-sdk-օգնականներ՝ 1.3.0 | Հուն 4, 2026 |
| npm | ai-sdk-օգնականներ՝ 1.4.0 | Հուն 4, 2026 |
| npm | ai-sdk-օգնականներ՝ 1.4.2 | Հուն 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Հուն 4, 2026 |
| npm | զգայունություն՝ 2.5.0 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.1 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.2 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.3 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.4 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.5 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.13 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.14 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.15 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.33 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.34 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.35 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.36 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.37 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.38 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.58 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.59 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.60 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.62 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.63 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.64 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.65 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.66 | Հուն 5, 2026 |
| npm | զգայունություն՝ 2.5.69 | Հուն 5, 2026 |
Պաշտպանեք ձեր բաց կոդով կախվածությունները խոցելիություններից և վնասակար կոդից
Թույլ մի տվեք, որ վնասակար փաթեթները հասնեն ձեզ pipelines. Xygeni-ի վաղաժամ վնասակար ծրագրերի հայտնաբերում ձեր թիմին իրական ժամանակում տեսանելիություն է տալիս ամենակարևոր սպառնալիքների վերաբերյալ՝ հայտնաբերելով վնասակար կախվածությունները, նախքան դրանք երբևէ կդիպչեն ձեր ծրագրին։
Ինչպես այս շաբաթվա ամփոփագրում է հստակ երևում, վնասակար փաթեթների արշավների ծավալն ու բարդությունը չեն դանդաղում: Համակարգված տարբերակների հեղեղումը, վճարային մոդուլի կեղծումը և ներքին հնչողությամբ փաթեթների անունները միայն մի քանի մարտավարություններ են, որոնք հարձակվողները օգտագործում են շրջանցելու համար: standard պաշտպանություններ: Այս սպառնալիքներից առաջ մնալը պահանջում է ոչ միայն պարբերական աուդիտներ, այլև շարունակական մոնիթորինգ ձեր թիմերի բոլոր ռեգիստրներում:
Քսիգենիի Open Source Security Լուծումը սկանավորում և արգելափակում է վնասակար փաթեթները հրապարակման պահին՝ npm-ի, PyPI-ի և այլ հարթակների միջոցով: Համատեքստային առաջնահերթություն տալով իրական աշխարհի ամենամեծ ռիսկը ներկայացնող խոցելիություններին (և ձեր DevSecOps թիմերի համար վերականգնման ուղին պարզեցնելով), Xygeni-ն օգնում է ձեզ պահպանել ծրագրային ապահովման անվտանգ և հուսալի մատակարարում՝ առանց դանդաղեցնելու մշակումը:




