Վնասակար կոդի ամփոփում 73

Xygeni վնասակար կոդի համառոտագիր 73

Գրեթե ամեն շաբաթ, մեր վնասակար ծրագրերի հայտնաբերման համակարգերը սկանավորում են հազարավոր նոր և թարմացված փաթեթներ հանրային գրանցամատյաններում, ինչպիսիք են npm-ը և PyPI-ն: Այս շաբաթը շատ ակտիվ էր:

Մենք հաստատեցինք 198 վնասակար փաթեթ, հիմնականում npm-ի միջոցով, լրացուցիչ դեպքերով՝ PyPI, OpenVSX, Composer և VS Code ընդլայնումներում: Մի քանիսը հայտնվել են համակարգված կլաստերներում՝ նույն անուններով կամ սերտորեն կապված փաթեթների ընտանիքներում հրապարակված բազմակի վնասակար թողարկումներով: Աչքի ընկնող դեպք էր sensivity փաթեթը, որը npm-ը ողողեց 2.5.x շարքի ավելի քան 60 տարբերակված թողարկումներով: Այլ նշանակալի կլաստերներից էին ai-sdk-helpers (8 տարբերակ, որոնք ուղղված են արհեստական ​​բանականության մշակողներին), @antoncallahan/aws-user-helper (7 տարբերակ, որոնք նմանակում են AWS ծրագիրը), @apple-pay-trust և @google-pay-trust ընտանիքներ (վճարման մոդուլների նմանակմամբ), @frengki0707/google-cloud-clone (5 տարբերակ, որոնք կեղծում են Google Cloud-ը), և cms-storehub, cms-helpgit, եւ cms-github (CMS-ի թիրախավորում pipelineն)։ Շատ փաթեթներ ընդօրինակում էին վճարման և գնման մոդուլները, enterprise և ներքին վեբ փաթեթներ, վերլուծական հաճախորդներ, UI հիմնադրամներ, մշակողների համար նախատեսված օգտակար ծրագրեր, բաղադրիչների հետազոտողներ, ամպային և Google-ի թեմատիկ փաթեթներ և այլ մոդուլներ, որոնք լայնորեն վստահելի են ժամանակակից մշակման աշխատանքային հոսքերում։

Սրանք մեկուսացված անոմալիաներ չէին։ Այս շաբաթ աչքի ընկնողը նույն փաթեթների ընտանիքներում կրկնակի հրապարակումների մասշտաբն էր, անվանակոչման ձևերի վերօգտագործումը և այն ձևը, որով վնասակար փաթեթները քողարկվում էին իրական ծրագրային ապահովման մատակարարման մեջ առկա օրինական կախվածությունների նմանվելու համար։ pipelines.

Այս շաբաթական ամփոփումը մեր շարունակական «Վնասակար կոդի ամփոփագրի» մի մասն է, որտեղ մենք ստուգում ենք նոր սպառնալիքները և տրամադրում գործնական տվյալներ՝ DevSecOps թիմերին օգնելու պաշտպանել իրենց... pipelineմինչև վնասի առաջացումը։

Եկեք վերլուծենք, թե ինչ գտանք այս շաբաթ և ինչու է դա կարևոր։

Հաստատված վնասակար փաթեթներ
էկոհամակարգը Փաթեթ Ամսաթիվ
npm@cloudplatform-single-spa/administration:99.99.100Մայիս 30, 2026
npm@cloudplatform-single-spa/svp-s3-storage:99.99.100Մայիս 30, 2026
npm@maximvs1538/os-npm:99.0.0Մայիս 30, 2026
npm@easy-entry/landing-routes:99.9.5Մայիս 30, 2026
npm@easy-entry/outside-registration-fop-navigator:99.9.5Մայիս 30, 2026
npm@easy-entry/routes:99.9.5Մայիս 30, 2026
npm@t-in-one/form_product_token:5.7.1Մայիս 30, 2026
npm@capibar.chat/ui-kit:99.5.7Մայիս 30, 2026
vscodexampp-մենեջեր: 5.1.3Մայիս 30, 2026
npm@chat-template/auth:1.0.0Մայիս 31, 2026
npmjson-to-simple-graphql-schema:1.0.0Հուն 1, 2026
npm@gs-select/savings-client-application:99.0.0Հուն 1, 2026
npmնեմո-թղթակից: 1.8.2Հուն 1, 2026
npmcms-github:4.2.4Հուն 1, 2026
npmcms-helpgit:4.2.6Հուն 1, 2026
npmcms-helpgit:4.2.8Հուն 1, 2026
npmcms-storehub:1.3.4Հուն 1, 2026
npmcms-storehub:1.3.5Հուն 1, 2026
npmcms-storehub:1.3.6Հուն 1, 2026
pypisimtooreal-cli:0.3.0Հուն 1, 2026
npmմանրածախ առևտրի տեղակայման ռազմավարության ինտերֆեյս՝ 1.1.1Հուն 1, 2026
npmմանրածախ առևտրի տեղակայման ռազմավարության ինտերֆեյս՝ 1.1.2Հուն 1, 2026
npmconversa-sdk:2.0.2Հուն 1, 2026
npmվելտրիքս: 9.0.0Հուն 1, 2026
npmվելտրիքս: 9.0.1Հուն 1, 2026
npmjingmeideshishi:1.0.4Հուն 1, 2026
npmjingmeideshishi:1.0.5Հուն 1, 2026
npm@tse-digital/core:99.0.0Հուն 1, 2026
npm@telenor-se/core:99.0.0Հուն 1, 2026
npm@ownit/core:99.0.0Հուն 1, 2026
npmհիվանդի փաստաթղթեր՝ 75.0.0Հուն 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.69Հուն 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.68Հուն 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.82Հուն 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.80Հուն 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.81Հուն 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.83Հուն 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.3Հուն 1, 2026
npm@emcd-vue/auth:6.4.9Հուն 1, 2026
npm@emcd-vue/b2b-վճարման-ձև:5.7.4Հուն 1, 2026
npm@ccrm/user-storage-api-axios:5.0.1Հուն 2, 2026
npmզգայունություն՝ 2.5.8Հուն 2, 2026
npmզգայունություն՝ 2.5.12Հուն 2, 2026
npmզգայունություն՝ 2.5.16Հուն 2, 2026
npmզգայունություն՝ 2.5.17Հուն 2, 2026
npmզգայունություն՝ 2.5.18Հուն 2, 2026
npmզգայունություն՝ 2.5.19Հուն 2, 2026
npmզգայունություն՝ 2.5.20Հուն 2, 2026
npmզգայունություն՝ 2.5.21Հուն 2, 2026
npmզգայունություն՝ 2.5.22Հուն 2, 2026
npmզգայունություն՝ 2.5.23Հուն 2, 2026
npmզգայունություն՝ 2.5.24Հուն 2, 2026
npmզգայունություն՝ 2.5.25Հուն 2, 2026
npmզգայունություն՝ 2.5.26Հուն 2, 2026
npmզգայունություն՝ 2.5.27Հուն 2, 2026
npmզգայունություն՝ 2.5.28Հուն 2, 2026
npmզգայունություն՝ 2.5.29Հուն 2, 2026
npmզգայունություն՝ 2.5.30Հուն 2, 2026
npmզգայունություն՝ 2.5.31Հուն 2, 2026
npmզգայունություն՝ 2.5.32Հուն 2, 2026
npmզգայունություն՝ 2.5.41Հուն 2, 2026
npmզգայունություն՝ 2.5.42Հուն 2, 2026
npmզգայունություն՝ 2.5.43Հուն 2, 2026
npmզգայունություն՝ 2.5.44Հուն 2, 2026
npmզգայունություն՝ 2.5.45Հուն 2, 2026
npmզգայունություն՝ 2.5.46Հուն 2, 2026
npmmeoo-ui-օգնականներ: 1.0.1Հուն 2, 2026
npm@langgraphjs/toolkit:1.2.10Հուն 2, 2026
npmeyevox:9.0.1Հուն 2, 2026
npmզգայունություն՝ 2.5.53Հուն 3, 2026
npmզգայունություն՝ 2.5.54Հուն 3, 2026
npmզգայունություն՝ 2.5.55Հուն 3, 2026
npmզգայունություն՝ 2.5.56Հուն 3, 2026
npmզգայունություն՝ 2.5.57Հուն 3, 2026
npmզգայունություն՝ 2.5.61Հուն 3, 2026
npm@sentry-browser-sdk/profiling-node:1.0.1Հուն 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.2Հուն 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.5Հուն 4, 2026
npmդրամահավաքի ծառայություն՝ 1.0.0Հուն 4, 2026
npmզգայունություն՝ 2.5.67Հուն 4, 2026
npmզգայունություն՝ 2.5.68Հուն 4, 2026
npmvg-փոխազդեցության-մոդել՝ 40.0.5Հուն 4, 2026
npminternallib_v346:1.0.3Հուն 4, 2026
npminternallib_v346:1.0.5Հուն 4, 2026
npminternallib_v346:1.0.9Հուն 4, 2026
npmai-sdk-օգնականներ՝ 0.2.1Հուն 4, 2026
npmai-sdk-օգնականներ՝ 0.3.0Հուն 4, 2026
npmai-sdk-օգնականներ՝ 0.3.1Հուն 4, 2026
npmai-sdk-օգնականներ՝ 1.1.0Հուն 4, 2026
npmai-sdk-օգնականներ՝ 1.1.1Հուն 4, 2026
npmai-sdk-օգնականներ՝ 1.3.0Հուն 4, 2026
npmai-sdk-օգնականներ՝ 1.4.0Հուն 4, 2026
npmai-sdk-օգնականներ՝ 1.4.2Հուն 4, 2026
npm@achuthvp/postinstall-poc:1.0.3Հուն 4, 2026
npmզգայունություն՝ 2.5.0Հուն 5, 2026
npmզգայունություն՝ 2.5.1Հուն 5, 2026
npmզգայունություն՝ 2.5.2Հուն 5, 2026
npmզգայունություն՝ 2.5.3Հուն 5, 2026
npmզգայունություն՝ 2.5.4Հուն 5, 2026
npmզգայունություն՝ 2.5.5Հուն 5, 2026
npmզգայունություն՝ 2.5.13Հուն 5, 2026
npmզգայունություն՝ 2.5.14Հուն 5, 2026
npmզգայունություն՝ 2.5.15Հուն 5, 2026
npmզգայունություն՝ 2.5.33Հուն 5, 2026
npmզգայունություն՝ 2.5.34Հուն 5, 2026
npmզգայունություն՝ 2.5.35Հուն 5, 2026
npmզգայունություն՝ 2.5.36Հուն 5, 2026
npmզգայունություն՝ 2.5.37Հուն 5, 2026
npmզգայունություն՝ 2.5.38Հուն 5, 2026
npmզգայունություն՝ 2.5.58Հուն 5, 2026
npmզգայունություն՝ 2.5.59Հուն 5, 2026
npmզգայունություն՝ 2.5.60Հուն 5, 2026
npmզգայունություն՝ 2.5.62Հուն 5, 2026
npmզգայունություն՝ 2.5.63Հուն 5, 2026
npmզգայունություն՝ 2.5.64Հուն 5, 2026
npmզգայունություն՝ 2.5.65Հուն 5, 2026
npmզգայունություն՝ 2.5.66Հուն 5, 2026
npmզգայունություն՝ 2.5.69Հուն 5, 2026


Պաշտպանեք ձեր բաց կոդով կախվածությունները խոցելիություններից և վնասակար կոդից

Թույլ մի տվեք, որ վնասակար փաթեթները հասնեն ձեզ pipelines. Xygeni-ի վաղաժամ վնասակար ծրագրերի հայտնաբերում ձեր թիմին իրական ժամանակում տեսանելիություն է տալիս ամենակարևոր սպառնալիքների վերաբերյալ՝ հայտնաբերելով վնասակար կախվածությունները, նախքան դրանք երբևէ կդիպչեն ձեր ծրագրին։

Ինչպես այս շաբաթվա ամփոփագրում է հստակ երևում, վնասակար փաթեթների արշավների ծավալն ու բարդությունը չեն դանդաղում: Համակարգված տարբերակների հեղեղումը, վճարային մոդուլի կեղծումը և ներքին հնչողությամբ փաթեթների անունները միայն մի քանի մարտավարություններ են, որոնք հարձակվողները օգտագործում են շրջանցելու համար: standard պաշտպանություններ: Այս սպառնալիքներից առաջ մնալը պահանջում է ոչ միայն պարբերական աուդիտներ, այլև շարունակական մոնիթորինգ ձեր թիմերի բոլոր ռեգիստրներում:

Քսիգենիի Open Source Security Լուծումը սկանավորում և արգելափակում է վնասակար փաթեթները հրապարակման պահին՝ npm-ի, PyPI-ի և այլ հարթակների միջոցով: Համատեքստային առաջնահերթություն տալով իրական աշխարհի ամենամեծ ռիսկը ներկայացնող խոցելիություններին (և ձեր DevSecOps թիմերի համար վերականգնման ուղին պարզեցնելով), Xygeni-ն օգնում է ձեզ պահպանել ծրագրային ապահովման անվտանգ և հուսալի մատակարարում՝ առանց դանդաղեցնելու մշակումը:

sca-tools-software-composition-analysis-tools
Առաջնահերթություն տվեք, շտկեք և պաշտպանեք ձեր ծրագրային ռիսկերը
Ստացեք ձեր անվճար հաշիվը։
Ոչ մի վարկային քարտ չի պահանջվում:

Ապահովեք ձեր ծրագրային ապահովման մշակումը և մատակարարումը

Xygeni Product Suite-ի հետ