Næstum í hverri viku, skaðforritagreiningarkerfi okkar skanna þúsundir nýrra og uppfærðra pakka í opinberum skrám eins og npm og PyPI. Þessi vika var mjög virk.
Við staðfestum 198 illgjarn pakkar, aðallega í npm, með viðbótartilfellum í PyPI, OpenVSX, Composer og VS Code viðbótum. Nokkur birtust í samhæfðum klösum, með endurteknum illgjörnum útgáfum sem gefnar voru út undir sömu nöfnum eða í nátengdum pakkafjölskyldum. Áberandi tilfelli var sensivity pakkanum, sem flæddi yfir 60 útgáfur af 2.5.x sviðinu yfir npm. Aðrir athyglisverðir klasar voru meðal annars ai-sdk-helpers (8 útgáfur sem miða að gervigreindarforriturum), @antoncallahan/aws-user-helper (7 útgáfur sem þykjast vera AWS tól), @apple-pay-trust og @google-pay-trust fjölskyldur (líkir eftir greiðslumáta), @frengki0707/google-cloud-clone (5 útgáfur sem herma eftir Google Cloud) og cms-storehub, cms-helpgitog cms-github (miðar á efnisstjórnunarkerfi pipelines). Margir pakkar líktu eftir greiðslu- og afgreiðslueiningum, enterprise og innri vefpakka, greiningarforrit, notendaviðmótsgrunnar, forritunartól, íhlutakönnuðir, skýja- og Google-þemapakkar og aðrar einingar sem almennt eru treystar í nútíma þróunarferlum.
Þetta voru ekki einangruð frávik. Það sem stóð upp úr í þessari viku var umfang endurtekinnar útgáfu innan sömu pakkafjölskyldna, endurnotkun nafngifta og hvernig illgjarnir pakkar voru dulbúnir til að líta út eins og lögmætar ósjálfstæðir þættir innan raunverulegrar hugbúnaðarafhendingar. pipelines.
Þessi vikulega yfirlitsmynd er hluti af áframhaldandi yfirliti okkar um skaðlegan kóða, þar sem við staðfestum nýjar ógnir og veitum nothæfar upplýsingar til að hjálpa DevSecOps teymum að vernda öryggi sitt. pipelineáður en tjón verður.
Við skulum skoða hvað við uppgötvuðum í þessari viku og hvers vegna það skiptir máli.
| Vistkerfi | Pakki | Dagsetning |
|---|---|---|
| npm | @cloudplatform-single-spa/stjórnun:99.99.100 | Kann 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Kann 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Kann 30, 2026 |
| npm | @auðveldar-aðkomur/lendingarleiðir: 99.9.5 | Kann 30, 2026 |
| npm | @auðveld-innganga/úti-skráning-fop-leiðsögumaður:99.9.5 | Kann 30, 2026 |
| npm | @auðveld-aðgangur/leiðir:99.9.5 | Kann 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Kann 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Kann 30, 2026 |
| vscode | xampp-stjóri:5.1.3 | Kann 30, 2026 |
| npm | @spjallsniðmát/heimild:1.0.0 | Kann 31, 2026 |
| npm | json-í-einfalt-graphql-skema:1.0.0 | Júní 1, 2026 |
| npm | @gs-select/sparnaðar-viðskiptavinaforrit:99.0.0 | Júní 1, 2026 |
| npm | nemo-fréttamaður: 1.8.2 | Júní 1, 2026 |
| npm | cms-github:4.2.4 | Júní 1, 2026 |
| npm | cms-hjálpargit:4.2.6 | Júní 1, 2026 |
| npm | cms-hjálpargit:4.2.8 | Júní 1, 2026 |
| npm | cms-verslunarmiðstöð: 1.3.4 | Júní 1, 2026 |
| npm | cms-verslunarmiðstöð: 1.3.5 | Júní 1, 2026 |
| npm | cms-verslunarmiðstöð: 1.3.6 | Júní 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Júní 1, 2026 |
| npm | Staðsetningarstefna fyrir smásölu: 1.1.1 | Júní 1, 2026 |
| npm | Staðsetningarstefna fyrir smásölu: 1.1.2 | Júní 1, 2026 |
| npm | conversa-sdk:2.0.2 | Júní 1, 2026 |
| npm | veltrix:9.0.0 | Júní 1, 2026 |
| npm | veltrix:9.0.1 | Júní 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Júní 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Júní 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Júní 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Júní 1, 2026 |
| npm | @ownit/core:99.0.0 | Júní 1, 2026 |
| npm | sjúklingaskjöl: 75.0.0 | Júní 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Júní 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Júní 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Júní 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Júní 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Júní 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Júní 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Júní 1, 2026 |
| npm | @emcd-vue/heimild:6.4.9 | Júní 1, 2026 |
| npm | @emcd-vue/b2b-greiðsluform:5.7.4 | Júní 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Júní 2, 2026 |
| npm | næmi: 2.5.8 | Júní 2, 2026 |
| npm | næmi: 2.5.12 | Júní 2, 2026 |
| npm | næmi: 2.5.16 | Júní 2, 2026 |
| npm | næmi: 2.5.17 | Júní 2, 2026 |
| npm | næmi: 2.5.18 | Júní 2, 2026 |
| npm | næmi: 2.5.19 | Júní 2, 2026 |
| npm | næmi: 2.5.20 | Júní 2, 2026 |
| npm | næmi: 2.5.21 | Júní 2, 2026 |
| npm | næmi: 2.5.22 | Júní 2, 2026 |
| npm | næmi: 2.5.23 | Júní 2, 2026 |
| npm | næmi: 2.5.24 | Júní 2, 2026 |
| npm | næmi: 2.5.25 | Júní 2, 2026 |
| npm | næmi: 2.5.26 | Júní 2, 2026 |
| npm | næmi: 2.5.27 | Júní 2, 2026 |
| npm | næmi: 2.5.28 | Júní 2, 2026 |
| npm | næmi: 2.5.29 | Júní 2, 2026 |
| npm | næmi: 2.5.30 | Júní 2, 2026 |
| npm | næmi: 2.5.31 | Júní 2, 2026 |
| npm | næmi: 2.5.32 | Júní 2, 2026 |
| npm | næmi: 2.5.41 | Júní 2, 2026 |
| npm | næmi: 2.5.42 | Júní 2, 2026 |
| npm | næmi: 2.5.43 | Júní 2, 2026 |
| npm | næmi: 2.5.44 | Júní 2, 2026 |
| npm | næmi: 2.5.45 | Júní 2, 2026 |
| npm | næmi: 2.5.46 | Júní 2, 2026 |
| npm | meoo-ui-hjálparar:1.0.1 | Júní 2, 2026 |
| npm | @langgraphjs/verkfærakista:1.2.10 | Júní 2, 2026 |
| npm | eyevox:9.0.1 | Júní 2, 2026 |
| npm | næmi: 2.5.53 | Júní 3, 2026 |
| npm | næmi: 2.5.54 | Júní 3, 2026 |
| npm | næmi: 2.5.55 | Júní 3, 2026 |
| npm | næmi: 2.5.56 | Júní 3, 2026 |
| npm | næmi: 2.5.57 | Júní 3, 2026 |
| npm | næmi: 2.5.61 | Júní 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Júní 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Júní 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Júní 4, 2026 |
| npm | fjáröflunarþjónusta: 1.0.0 | Júní 4, 2026 |
| npm | næmi: 2.5.67 | Júní 4, 2026 |
| npm | næmi: 2.5.68 | Júní 4, 2026 |
| npm | vg-samskiptalíkan: 40.0.5 | Júní 4, 2026 |
| npm | innri_skrá_v346:1.0.3 | Júní 4, 2026 |
| npm | innri_skrá_v346:1.0.5 | Júní 4, 2026 |
| npm | innri_skrá_v346:1.0.9 | Júní 4, 2026 |
| npm | ai-sdk-hjálparar: 0.2.1 | Júní 4, 2026 |
| npm | ai-sdk-hjálparar: 0.3.0 | Júní 4, 2026 |
| npm | ai-sdk-hjálparar: 0.3.1 | Júní 4, 2026 |
| npm | ai-sdk-hjálparar: 1.1.0 | Júní 4, 2026 |
| npm | ai-sdk-hjálparar: 1.1.1 | Júní 4, 2026 |
| npm | ai-sdk-hjálparar: 1.3.0 | Júní 4, 2026 |
| npm | ai-sdk-hjálparar: 1.4.0 | Júní 4, 2026 |
| npm | ai-sdk-hjálparar: 1.4.2 | Júní 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Júní 4, 2026 |
| npm | næmi: 2.5.0 | Júní 5, 2026 |
| npm | næmi: 2.5.1 | Júní 5, 2026 |
| npm | næmi: 2.5.2 | Júní 5, 2026 |
| npm | næmi: 2.5.3 | Júní 5, 2026 |
| npm | næmi: 2.5.4 | Júní 5, 2026 |
| npm | næmi: 2.5.5 | Júní 5, 2026 |
| npm | næmi: 2.5.13 | Júní 5, 2026 |
| npm | næmi: 2.5.14 | Júní 5, 2026 |
| npm | næmi: 2.5.15 | Júní 5, 2026 |
| npm | næmi: 2.5.33 | Júní 5, 2026 |
| npm | næmi: 2.5.34 | Júní 5, 2026 |
| npm | næmi: 2.5.35 | Júní 5, 2026 |
| npm | næmi: 2.5.36 | Júní 5, 2026 |
| npm | næmi: 2.5.37 | Júní 5, 2026 |
| npm | næmi: 2.5.38 | Júní 5, 2026 |
| npm | næmi: 2.5.58 | Júní 5, 2026 |
| npm | næmi: 2.5.59 | Júní 5, 2026 |
| npm | næmi: 2.5.60 | Júní 5, 2026 |
| npm | næmi: 2.5.62 | Júní 5, 2026 |
| npm | næmi: 2.5.63 | Júní 5, 2026 |
| npm | næmi: 2.5.64 | Júní 5, 2026 |
| npm | næmi: 2.5.65 | Júní 5, 2026 |
| npm | næmi: 2.5.66 | Júní 5, 2026 |
| npm | næmi: 2.5.69 | Júní 5, 2026 |
Tryggðu opinn hugbúnaðartengda þætti gegn varnarleysi og skaðlegum kóða
Ekki láta skaðleg pakka ná til þín pipelines. Xygeni snemmbúin greining spilliforrita Gefur teyminu þínu rauntíma yfirsýn yfir þær ógnir sem skipta mestu máli og greinir skaðlegar ósjálfstæðir aðila áður en þeir snerta hugbúnaðinn þinn.
Eins og kemur fram í samantekt þessarar viku er umfang og flóknari herferðir illgjarnra pakka ekki að hægja á sér. Samræmd útgáfuflæði, eftirlíkingar af greiðslueiningum og innri pakkanöfn eru aðeins nokkrar af þeim aðferðum sem árásarmenn nota til að komast fram hjá. standard varnir. Að vera á undan þessum ógnum krefst meira en reglubundinna endurskoðunar, það krefst stöðugs eftirlits með öllum skrám sem teymi þín reiða sig á.
Xygeni's Open Source Security Lausnin skannar og lokar fyrir skaðleg pakka við útgáfu, í gegnum npm, PyPI og víðar. Með því að forgangsraða þeim veikleikum sem skapa mesta raunverulega áhættu (og hagræða úrbótaferlinu fyrir DevSecOps teymin þín) hjálpar Xygeni þér að viðhalda öruggri og áreiðanlegri hugbúnaðarafhendingu án þess að hægja á þróun.




