Quasi ogni settimanaI nostri sistemi di rilevamento malware analizzano migliaia di pacchetti nuovi e aggiornati su registri pubblici come npm e PyPI. Questa settimana è stata molto intensa.
Abbiamo confermato 198 pacchetti dannosi, principalmente su npm, con casi aggiuntivi in PyPI, OpenVSX, Composer e nelle estensioni di VS Code. Diversi sono apparsi in cluster coordinati, con rilasci dannosi ripetuti pubblicati con gli stessi nomi o in famiglie di pacchetti strettamente correlate. Un caso eclatante è stato il sensivity pacchetto, che ha inondato npm con oltre 60 release versionate nell'intervallo 2.5.x. Altri cluster degni di nota includevano ai-sdk-helpers (8 versioni destinate agli sviluppatori di IA), @antoncallahan/aws-user-helper (7 versioni che simulano un'utilità AWS), @apple-pay-trust and @google-pay-trust famiglie (che imitano i moduli di pagamento al momento della chiusura), @frengki0707/google-cloud-clone (5 versioni che imitano Google Cloud) e cms-storehub, cms-helpgite cms-github (rivolto a CMS) pipelines). Molti pacchetti imitavano i moduli di pagamento e di checkout, enterprise e pacchetti web interni, client di analisi, basi per l'interfaccia utente, utilità per sviluppatori, esploratori di componenti, pacchetti a tema cloud e Google e altri moduli comunemente utilizzati nei moderni flussi di lavoro di sviluppo.
Non si trattava di anomalie isolate. Ciò che ha colpito questa settimana è stata la portata delle pubblicazioni ripetute all'interno delle stesse famiglie di pacchetti, il riutilizzo di schemi di denominazione e il modo in cui i pacchetti dannosi venivano camuffati per apparire come dipendenze legittime all'interno di una distribuzione software reale. pipelines.
Questa istantanea settimanale fa parte del nostro continuo Malicious Code Digest, in cui convalidiamo le nuove minacce e forniamo informazioni utili per aiutare i team DevSecOps a proteggere i loro pipelineprima che si verifichino danni.
Analizziamo nel dettaglio cosa abbiamo scoperto questa settimana e perché è importante.
| Ecosistema | CONFEZIONE | Data |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | 30 maggio 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 maggio 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | 30 maggio 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | 30 maggio 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30 maggio 2026 |
| npm | @easy-entry/routes:99.9.5 | 30 maggio 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | 30 maggio 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | 30 maggio 2026 |
| vscodice | xampp-manager:5.1.3 | 30 maggio 2026 |
| npm | @chat-template/auth:1.0.0 | 31 maggio 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | 1 giugno 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | 1 giugno 2026 |
| npm | nemo-reporter:1.8.2 | 1 giugno 2026 |
| npm | cms-github:4.2.4 | 1 giugno 2026 |
| npm | cms-helpgit:4.2.6 | 1 giugno 2026 |
| npm | cms-helpgit:4.2.8 | 1 giugno 2026 |
| npm | cms-storehub:1.3.4 | 1 giugno 2026 |
| npm | cms-storehub:1.3.5 | 1 giugno 2026 |
| npm | cms-storehub:1.3.6 | 1 giugno 2026 |
| pypi | simtooreal-cli:0.3.0 | 1 giugno 2026 |
| npm | frontend della strategia di localizzazione al dettaglio: 1.1.1 | 1 giugno 2026 |
| npm | frontend della strategia di localizzazione al dettaglio: 1.1.2 | 1 giugno 2026 |
| npm | conversa-sdk:2.0.2 | 1 giugno 2026 |
| npm | veltrix:9.0.0 | 1 giugno 2026 |
| npm | veltrix:9.0.1 | 1 giugno 2026 |
| npm | jingmeideshishi:1.0.4 | 1 giugno 2026 |
| npm | jingmeideshishi:1.0.5 | 1 giugno 2026 |
| npm | @tse-digital/core:99.0.0 | 1 giugno 2026 |
| npm | @telenor-se/core:99.0.0 | 1 giugno 2026 |
| npm | @ownit/core:99.0.0 | 1 giugno 2026 |
| npm | Documenti del paziente: 75.0.0 | 1 giugno 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | 1 giugno 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | 1 giugno 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | 1 giugno 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | 1 giugno 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | 1 giugno 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | 1 giugno 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | 1 giugno 2026 |
| npm | @emcd-vue/auth:6.4.9 | 1 giugno 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | 1 giugno 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | 2 giugno 2026 |
| npm | sensibilità: 2.5.8 | 2 giugno 2026 |
| npm | sensibilità: 2.5.12 | 2 giugno 2026 |
| npm | sensibilità: 2.5.16 | 2 giugno 2026 |
| npm | sensibilità: 2.5.17 | 2 giugno 2026 |
| npm | sensibilità: 2.5.18 | 2 giugno 2026 |
| npm | sensibilità: 2.5.19 | 2 giugno 2026 |
| npm | sensibilità: 2.5.20 | 2 giugno 2026 |
| npm | sensibilità: 2.5.21 | 2 giugno 2026 |
| npm | sensibilità: 2.5.22 | 2 giugno 2026 |
| npm | sensibilità: 2.5.23 | 2 giugno 2026 |
| npm | sensibilità: 2.5.24 | 2 giugno 2026 |
| npm | sensibilità: 2.5.25 | 2 giugno 2026 |
| npm | sensibilità: 2.5.26 | 2 giugno 2026 |
| npm | sensibilità: 2.5.27 | 2 giugno 2026 |
| npm | sensibilità: 2.5.28 | 2 giugno 2026 |
| npm | sensibilità: 2.5.29 | 2 giugno 2026 |
| npm | sensibilità: 2.5.30 | 2 giugno 2026 |
| npm | sensibilità: 2.5.31 | 2 giugno 2026 |
| npm | sensibilità: 2.5.32 | 2 giugno 2026 |
| npm | sensibilità: 2.5.41 | 2 giugno 2026 |
| npm | sensibilità: 2.5.42 | 2 giugno 2026 |
| npm | sensibilità: 2.5.43 | 2 giugno 2026 |
| npm | sensibilità: 2.5.44 | 2 giugno 2026 |
| npm | sensibilità: 2.5.45 | 2 giugno 2026 |
| npm | sensibilità: 2.5.46 | 2 giugno 2026 |
| npm | meoo-ui-helpers:1.0.1 | 2 giugno 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | 2 giugno 2026 |
| npm | eyevox:9.0.1 | 2 giugno 2026 |
| npm | sensibilità: 2.5.53 | 3 giugno 2026 |
| npm | sensibilità: 2.5.54 | 3 giugno 2026 |
| npm | sensibilità: 2.5.55 | 3 giugno 2026 |
| npm | sensibilità: 2.5.56 | 3 giugno 2026 |
| npm | sensibilità: 2.5.57 | 3 giugno 2026 |
| npm | sensibilità: 2.5.61 | 3 giugno 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | 4 giugno 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | 4 giugno 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | 4 giugno 2026 |
| npm | fundraiserserv:1.0.0 | 4 giugno 2026 |
| npm | sensibilità: 2.5.67 | 4 giugno 2026 |
| npm | sensibilità: 2.5.68 | 4 giugno 2026 |
| npm | vg-interaction-model:40.0.5 | 4 giugno 2026 |
| npm | internallib_v346:1.0.3 | 4 giugno 2026 |
| npm | internallib_v346:1.0.5 | 4 giugno 2026 |
| npm | internallib_v346:1.0.9 | 4 giugno 2026 |
| npm | ai-sdk-helpers:0.2.1 | 4 giugno 2026 |
| npm | ai-sdk-helpers:0.3.0 | 4 giugno 2026 |
| npm | ai-sdk-helpers:0.3.1 | 4 giugno 2026 |
| npm | ai-sdk-helpers:1.1.0 | 4 giugno 2026 |
| npm | ai-sdk-helpers:1.1.1 | 4 giugno 2026 |
| npm | ai-sdk-helpers:1.3.0 | 4 giugno 2026 |
| npm | ai-sdk-helpers:1.4.0 | 4 giugno 2026 |
| npm | ai-sdk-helpers:1.4.2 | 4 giugno 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | 4 giugno 2026 |
| npm | sensibilità: 2.5.0 | 5 giugno 2026 |
| npm | sensibilità: 2.5.1 | 5 giugno 2026 |
| npm | sensibilità: 2.5.2 | 5 giugno 2026 |
| npm | sensibilità: 2.5.3 | 5 giugno 2026 |
| npm | sensibilità: 2.5.4 | 5 giugno 2026 |
| npm | sensibilità: 2.5.5 | 5 giugno 2026 |
| npm | sensibilità: 2.5.13 | 5 giugno 2026 |
| npm | sensibilità: 2.5.14 | 5 giugno 2026 |
| npm | sensibilità: 2.5.15 | 5 giugno 2026 |
| npm | sensibilità: 2.5.33 | 5 giugno 2026 |
| npm | sensibilità: 2.5.34 | 5 giugno 2026 |
| npm | sensibilità: 2.5.35 | 5 giugno 2026 |
| npm | sensibilità: 2.5.36 | 5 giugno 2026 |
| npm | sensibilità: 2.5.37 | 5 giugno 2026 |
| npm | sensibilità: 2.5.38 | 5 giugno 2026 |
| npm | sensibilità: 2.5.58 | 5 giugno 2026 |
| npm | sensibilità: 2.5.59 | 5 giugno 2026 |
| npm | sensibilità: 2.5.60 | 5 giugno 2026 |
| npm | sensibilità: 2.5.62 | 5 giugno 2026 |
| npm | sensibilità: 2.5.63 | 5 giugno 2026 |
| npm | sensibilità: 2.5.64 | 5 giugno 2026 |
| npm | sensibilità: 2.5.65 | 5 giugno 2026 |
| npm | sensibilità: 2.5.66 | 5 giugno 2026 |
| npm | sensibilità: 2.5.69 | 5 giugno 2026 |
Proteggi le tue dipendenze Open Source da vulnerabilità e codice dannoso
Non lasciare che i pacchetti dannosi raggiungano il tuo pipelines. Rilevamento precoce di malware Xygeni Offre al tuo team visibilità in tempo reale sulle minacce più importanti, individuando le dipendenze dannose prima ancora che possano intaccare il tuo software.
Come emerge chiaramente dal riepilogo di questa settimana, il volume e la sofisticatezza delle campagne di pacchetti dannosi non accennano a diminuire. L'invio coordinato di versioni, l'impersonificazione dei moduli di pagamento e i nomi dei pacchetti che suonano interni sono solo alcune delle tattiche che gli aggressori utilizzano per eludere i sistemi di sicurezza. standard difese. Per stare al passo con queste minacce non bastano audit periodici, ma è necessario un monitoraggio continuo di ogni registro da cui dipendono i vostri team.
Quello di Xygeni Open Source Security La soluzione analizza e blocca i pacchetti dannosi al momento della pubblicazione, su npm, PyPI e altre piattaforme. Dando priorità contestualmente alle vulnerabilità che rappresentano il rischio reale maggiore (e semplificando il percorso di risoluzione per i team DevSecOps), Xygeni aiuta a mantenere una distribuzione del software sicura e affidabile senza rallentare lo sviluppo.




