Hampir setiap mingguSistem deteksi malware kami memindai ribuan paket baru dan yang diperbarui di seluruh registri publik seperti npm dan PyPI. Minggu ini sangat aktif.
Kami mengkonfirmasi 198 paket berbahayaTerutama di npm, dengan kasus tambahan di PyPI, OpenVSX, Composer, dan ekstensi VS Code. Beberapa muncul dalam kelompok yang terkoordinasi, dengan rilis berbahaya berulang yang diterbitkan dengan nama yang sama atau di seluruh keluarga paket yang terkait erat. Kasus yang menonjol adalah sensivity paket tersebut membanjiri npm dengan lebih dari 60 rilis versi di seluruh rentang 2.5.x. Klaster penting lainnya termasuk ai-sdk-helpers (8 versi yang ditujukan untuk pengembang AI), @antoncallahan/aws-user-helper (7 versi yang menyamar sebagai utilitas AWS), @apple-pay-trust ke @google-pay-trust keluarga (meniru modul pembayaran saat checkout), @frengki0707/google-cloud-clone (5 versi yang meniru Google Cloud), dan cms-storehub, cms-helpgit, dan cms-github (menargetkan CMS) pipelineBanyak paket yang meniru modul pembayaran dan proses checkout, enterprise serta paket web internal, klien analitik, fondasi UI, utilitas pengembang, penjelajah komponen, paket bertema cloud dan Google, dan modul lain yang umumnya dipercaya dalam alur kerja pengembangan modern.
Ini bukanlah anomali yang terisolasi. Yang menonjol minggu ini adalah skala penerbitan berulang di seluruh keluarga paket yang sama, penggunaan kembali pola penamaan, dan cara paket berbahaya disamarkan agar terlihat seperti dependensi yang sah di dalam pengiriman perangkat lunak yang sebenarnya. pipelines.
Ringkasan mingguan ini merupakan bagian dari Laporan Kode Berbahaya (Malicious Code Digest) kami yang berkelanjutan, di mana kami memvalidasi ancaman baru dan memberikan informasi intelijen yang dapat ditindaklanjuti untuk membantu tim DevSecOps melindungi keamanan mereka. pipelinesebelum kerusakan terjadi.
Mari kita uraikan apa yang kita temukan minggu ini dan mengapa hal itu penting.
| Ekosistem | Paket | Tanggal |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | 30 Mei 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 Mei 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | 30 Mei 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | 30 Mei 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30 Mei 2026 |
| npm | @easy-entry/routes:99.9.5 | 30 Mei 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | 30 Mei 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | 30 Mei 2026 |
| vscode | xampp-manager:5.1.3 | 30 Mei 2026 |
| npm | @chat-template/auth:1.0.0 | 31 Mei 2026 |
| npm | json-ke-skema-graphql-sederhana:1.0.0 | Juni 1, 2026 |
| npm | @gs-select/aplikasi-klien-tabungan:99.0.0 | Juni 1, 2026 |
| npm | nemo-reporter:1.8.2 | Juni 1, 2026 |
| npm | cms-github:4.2.4 | Juni 1, 2026 |
| npm | cms-helpgit:4.2.6 | Juni 1, 2026 |
| npm | cms-helpgit:4.2.8 | Juni 1, 2026 |
| npm | cms-storehub:1.3.4 | Juni 1, 2026 |
| npm | cms-storehub:1.3.5 | Juni 1, 2026 |
| npm | cms-storehub:1.3.6 | Juni 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Juni 1, 2026 |
| npm | frontend strategi lokasi ritel:1.1.1 | Juni 1, 2026 |
| npm | frontend strategi lokasi ritel:1.1.2 | Juni 1, 2026 |
| npm | conversa-sdk:2.0.2 | Juni 1, 2026 |
| npm | veltrix:9.0.0 | Juni 1, 2026 |
| npm | veltrix:9.0.1 | Juni 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Juni 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Juni 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Juni 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Juni 1, 2026 |
| npm | @ownit/core:99.0.0 | Juni 1, 2026 |
| npm | dokumen pasien:75.0.0 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Juni 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Juni 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | Juni 1, 2026 |
| npm | @ccrm/pengguna-penyimpanan-api-axios:5.0.1 | Juni 2, 2026 |
| npm | sensitivitas:2.5.8 | Juni 2, 2026 |
| npm | sensitivitas:2.5.12 | Juni 2, 2026 |
| npm | sensitivitas:2.5.16 | Juni 2, 2026 |
| npm | sensitivitas:2.5.17 | Juni 2, 2026 |
| npm | sensitivitas:2.5.18 | Juni 2, 2026 |
| npm | sensitivitas:2.5.19 | Juni 2, 2026 |
| npm | sensitivitas:2.5.20 | Juni 2, 2026 |
| npm | sensitivitas:2.5.21 | Juni 2, 2026 |
| npm | sensitivitas:2.5.22 | Juni 2, 2026 |
| npm | sensitivitas:2.5.23 | Juni 2, 2026 |
| npm | sensitivitas:2.5.24 | Juni 2, 2026 |
| npm | sensitivitas:2.5.25 | Juni 2, 2026 |
| npm | sensitivitas:2.5.26 | Juni 2, 2026 |
| npm | sensitivitas:2.5.27 | Juni 2, 2026 |
| npm | sensitivitas:2.5.28 | Juni 2, 2026 |
| npm | sensitivitas:2.5.29 | Juni 2, 2026 |
| npm | sensitivitas:2.5.30 | Juni 2, 2026 |
| npm | sensitivitas:2.5.31 | Juni 2, 2026 |
| npm | sensitivitas:2.5.32 | Juni 2, 2026 |
| npm | sensitivitas:2.5.41 | Juni 2, 2026 |
| npm | sensitivitas:2.5.42 | Juni 2, 2026 |
| npm | sensitivitas:2.5.43 | Juni 2, 2026 |
| npm | sensitivitas:2.5.44 | Juni 2, 2026 |
| npm | sensitivitas:2.5.45 | Juni 2, 2026 |
| npm | sensitivitas:2.5.46 | Juni 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | Juni 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Juni 2, 2026 |
| npm | eyevox:9.0.1 | Juni 2, 2026 |
| npm | sensitivitas:2.5.53 | Juni 3, 2026 |
| npm | sensitivitas:2.5.54 | Juni 3, 2026 |
| npm | sensitivitas:2.5.55 | Juni 3, 2026 |
| npm | sensitivitas:2.5.56 | Juni 3, 2026 |
| npm | sensitivitas:2.5.57 | Juni 3, 2026 |
| npm | sensitivitas:2.5.61 | Juni 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Juni 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Juni 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Juni 4, 2026 |
| npm | layanan penggalangan dana:1.0.0 | Juni 4, 2026 |
| npm | sensitivitas:2.5.67 | Juni 4, 2026 |
| npm | sensitivitas:2.5.68 | Juni 4, 2026 |
| npm | vg-interaction-model:40.0.5 | Juni 4, 2026 |
| npm | internallib_v346:1.0.3 | Juni 4, 2026 |
| npm | internallib_v346:1.0.5 | Juni 4, 2026 |
| npm | internallib_v346:1.0.9 | Juni 4, 2026 |
| npm | pembantu ai-sdk:0.2.1 | Juni 4, 2026 |
| npm | pembantu ai-sdk:0.3.0 | Juni 4, 2026 |
| npm | pembantu ai-sdk:0.3.1 | Juni 4, 2026 |
| npm | pembantu ai-sdk:1.1.0 | Juni 4, 2026 |
| npm | pembantu ai-sdk:1.1.1 | Juni 4, 2026 |
| npm | pembantu ai-sdk:1.3.0 | Juni 4, 2026 |
| npm | pembantu ai-sdk:1.4.0 | Juni 4, 2026 |
| npm | pembantu ai-sdk:1.4.2 | Juni 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Juni 4, 2026 |
| npm | sensitivitas:2.5.0 | Juni 5, 2026 |
| npm | sensitivitas:2.5.1 | Juni 5, 2026 |
| npm | sensitivitas:2.5.2 | Juni 5, 2026 |
| npm | sensitivitas:2.5.3 | Juni 5, 2026 |
| npm | sensitivitas:2.5.4 | Juni 5, 2026 |
| npm | sensitivitas:2.5.5 | Juni 5, 2026 |
| npm | sensitivitas:2.5.13 | Juni 5, 2026 |
| npm | sensitivitas:2.5.14 | Juni 5, 2026 |
| npm | sensitivitas:2.5.15 | Juni 5, 2026 |
| npm | sensitivitas:2.5.33 | Juni 5, 2026 |
| npm | sensitivitas:2.5.34 | Juni 5, 2026 |
| npm | sensitivitas:2.5.35 | Juni 5, 2026 |
| npm | sensitivitas:2.5.36 | Juni 5, 2026 |
| npm | sensitivitas:2.5.37 | Juni 5, 2026 |
| npm | sensitivitas:2.5.38 | Juni 5, 2026 |
| npm | sensitivitas:2.5.58 | Juni 5, 2026 |
| npm | sensitivitas:2.5.59 | Juni 5, 2026 |
| npm | sensitivitas:2.5.60 | Juni 5, 2026 |
| npm | sensitivitas:2.5.62 | Juni 5, 2026 |
| npm | sensitivitas:2.5.63 | Juni 5, 2026 |
| npm | sensitivitas:2.5.64 | Juni 5, 2026 |
| npm | sensitivitas:2.5.65 | Juni 5, 2026 |
| npm | sensitivitas:2.5.66 | Juni 5, 2026 |
| npm | sensitivitas:2.5.69 | Juni 5, 2026 |
Amankan Dependensi Sumber Terbuka Anda dari Kerentanan dan Kode Berbahaya
Jangan biarkan paket berbahaya mencapai perangkat Anda. pipelines. Deteksi Dini Malware Xygeni Memberikan tim Anda visibilitas waktu nyata terhadap ancaman yang paling penting, menangkap ketergantungan berbahaya sebelum menyentuh perangkat lunak Anda.
Seperti yang dipaparkan dalam rangkuman minggu ini, volume dan kecanggihan kampanye paket berbahaya tidak melambat. Penyebaran versi terkoordinasi, peniruan modul pembayaran, dan nama paket yang terdengar internal hanyalah beberapa taktik yang digunakan penyerang untuk lolos dari pengawasan. standard pertahanan. Untuk tetap selangkah lebih maju dari ancaman-ancaman ini, dibutuhkan lebih dari sekadar audit berkala, melainkan pemantauan berkelanjutan di setiap registri yang diandalkan tim Anda.
Xygeni's Open Source Security Solusi ini memindai dan memblokir paket berbahaya pada saat publikasi, di seluruh npm, PyPI, dan lainnya. Dengan memprioritaskan kerentanan yang menimbulkan risiko dunia nyata terbesar (dan menyederhanakan jalur perbaikan untuk tim DevSecOps Anda), Xygeni membantu Anda menjaga pengiriman perangkat lunak yang aman dan andal tanpa memperlambat pengembangan.




