תקציר קוד זדוני 73

תקציר קוד זדוני של Xygeni 73

כמעט כל שבועמערכות זיהוי התוכנות הזדוניות שלנו סורקות אלפי חבילות חדשות ומעודכנות ברישומים ציבוריים כמו npm ו-PyPI. השבוע היה פעיל מאוד.

אישרנו 198 חבילות זדוניות, בעיקר ב-npm, עם מקרים נוספים בהרחבות PyPI, OpenVSX, Composer ו-VS Code. כמה מהם הופיעו באשכולות מתואמים, עם פרסומים זדוניים חוזרים ונשנים שפורסמו תחת אותם שמות או במשפחות חבילות קרובות. מקרה בולט היה ה- sensivity חבילה, אשר הציפה את npm ביותר מ-60 גרסאות מעודכנות בטווח 2.5.x. אשכולות בולטים נוספים כללו ai-sdk-helpers (8 גרסאות המכוונות למפתחי בינה מלאכותית), @antoncallahan/aws-user-helper (7 גרסאות המתחזות לתוכנת AWS), @apple-pay-trust ו @google-pay-trust משפחות (מחקות מודולי תשלום לקופה), @frengki0707/google-cloud-clone (5 גרסאות מזייפות את גוגל קלאוד), ו cms-storehub, cms-helpgit, ו cms-github (מיקוד למערכת ניהול תוכן pipelineחבילות רבות חיקו מודולים של תשלום ותשלום, enterprise וחבילות אינטרנט פנימיות, לקוחות ניתוח נתונים, יסודות ממשק משתמש, כלי עזר למפתחים, רכיבי חיפוש, חבילות ענן וגוגל, ומודולים אחרים הנפוצים בתהליכי עבודה מודרניים של פיתוח.

אלה לא היו אנומליות בודדות. מה שבלט השבוע היה היקף הפרסום החוזר ונשנה באותן משפחות חבילות, השימוש החוזר בדפוסי שמות, והאופן שבו חבילות זדוניות הוסוו כך שיראו כתלות לגיטימיות בתוך אספקת תוכנה אמיתית. pipelines.

תמונת מצב שבועית זו היא חלק מסקירת הקוד הזדוני המתמשכת שלנו, שבה אנו מאמתים איומים חדשים ומספקים מודיעין מעשי שיעזור לצוותי DevSecOps להגן עליהם. pipelineלפני שיתרחש נזק.

בואו ננתח מה גילינו השבוע ולמה זה חשוב.

חבילות זדוניות מאושרות
מערכת אקולוגית חֲבִילָה תַאֲרִיך
Npm@cloudplatform-single-spa/administration:99.99.100מאי 30, 2026
Npmאחסון_svp-s3_cloudplatform-single-spa:99.99.100מאי 30, 2026
Npm@maximvs1538/os-npm:99.0.0מאי 30, 2026
Npm@נתיבי כניסה/נחיתה קלים:99.9.5מאי 30, 2026
Npm@easy-entry/outside-registration-fop-navigator:99.9.5מאי 30, 2026
Npm@כניסה-קלה/מסלולים:99.9.5מאי 30, 2026
Npm@t-in-one/טופס_מוצר_אסימון:5.7.1מאי 30, 2026
Npm@capibar.chat/ui-kit:99.5.7מאי 30, 2026
vscodeמנהל-xampp:5.1.3מאי 30, 2026
Npm@תבנית-צ'אט/אישור:1.0.0מאי 31, 2026
Npmjson-to-simple-graphql-schema:1.0.0יוני 1, 2026
Npm@gs-select/savings-client-application:99.0.0יוני 1, 2026
Npmnemo-reporter:1.8.2יוני 1, 2026
Npmcms-github:4.2.4יוני 1, 2026
Npmcms-helpgit:4.2.6יוני 1, 2026
Npmcms-helpgit:4.2.8יוני 1, 2026
Npmcms-storehub:1.3.4יוני 1, 2026
Npmcms-storehub:1.3.5יוני 1, 2026
Npmcms-storehub:1.3.6יוני 1, 2026
פיפיsimtooreal-cli:0.3.0יוני 1, 2026
Npmממשק אסטרטגיית מיקום קמעונאי: 1.1.1יוני 1, 2026
Npmממשק אסטרטגיית מיקום קמעונאי: 1.1.2יוני 1, 2026
Npmconversa-sdk:2.0.2יוני 1, 2026
Npmולטריקס:9.0.0יוני 1, 2026
Npmולטריקס:9.0.1יוני 1, 2026
Npmjingmeideshishi:1.0.4יוני 1, 2026
Npmjingmeideshishi:1.0.5יוני 1, 2026
Npm@tse-digital/core:99.0.0יוני 1, 2026
Npm@telenor-se/core:99.0.0יוני 1, 2026
Npm@ownit/core:99.0.0יוני 1, 2026
Npmמסמכי מטופל: 75.0.0יוני 1, 2026
Npm@antoncallahan/aws-user-helper:6767.67.69יוני 1, 2026
Npm@antoncallahan/aws-user-helper:6767.67.68יוני 1, 2026
Npm@antoncallahan/aws-user-helper:6767.67.82יוני 1, 2026
Npm@antoncallahan/aws-user-helper:6767.67.80יוני 1, 2026
Npm@antoncallahan/aws-user-helper:6767.67.81יוני 1, 2026
Npm@antoncallahan/aws-user-helper:6767.67.83יוני 1, 2026
Npm@antoncallahan/aws-user-helper:6767.67.3יוני 1, 2026
Npm@emcd-vue/auth:6.4.9יוני 1, 2026
Npm@emcd-vue/b2b-pay-form:5.7.4יוני 1, 2026
Npm@ccrm/user-storage-api-axios:5.0.1יוני 2, 2026
Npmרגישות: 2.5.8יוני 2, 2026
Npmרגישות: 2.5.12יוני 2, 2026
Npmרגישות: 2.5.16יוני 2, 2026
Npmרגישות: 2.5.17יוני 2, 2026
Npmרגישות: 2.5.18יוני 2, 2026
Npmרגישות: 2.5.19יוני 2, 2026
Npmרגישות: 2.5.20יוני 2, 2026
Npmרגישות: 2.5.21יוני 2, 2026
Npmרגישות: 2.5.22יוני 2, 2026
Npmרגישות: 2.5.23יוני 2, 2026
Npmרגישות: 2.5.24יוני 2, 2026
Npmרגישות: 2.5.25יוני 2, 2026
Npmרגישות: 2.5.26יוני 2, 2026
Npmרגישות: 2.5.27יוני 2, 2026
Npmרגישות: 2.5.28יוני 2, 2026
Npmרגישות: 2.5.29יוני 2, 2026
Npmרגישות: 2.5.30יוני 2, 2026
Npmרגישות: 2.5.31יוני 2, 2026
Npmרגישות: 2.5.32יוני 2, 2026
Npmרגישות: 2.5.41יוני 2, 2026
Npmרגישות: 2.5.42יוני 2, 2026
Npmרגישות: 2.5.43יוני 2, 2026
Npmרגישות: 2.5.44יוני 2, 2026
Npmרגישות: 2.5.45יוני 2, 2026
Npmרגישות: 2.5.46יוני 2, 2026
Npmmeoo-ui-helpers:1.0.1יוני 2, 2026
Npm@langgraphjs/ערכת כלים:1.2.10יוני 2, 2026
Npmאיי-ווקס: 9.0.1יוני 2, 2026
Npmרגישות: 2.5.53יוני 3, 2026
Npmרגישות: 2.5.54יוני 3, 2026
Npmרגישות: 2.5.55יוני 3, 2026
Npmרגישות: 2.5.56יוני 3, 2026
Npmרגישות: 2.5.57יוני 3, 2026
Npmרגישות: 2.5.61יוני 3, 2026
Npm@sentry-browser-sdk/profiling-node:1.0.1יוני 4, 2026
Npm@sentry-browser-sdk/profiling-node:1.0.2יוני 4, 2026
Npm@sentry-browser-sdk/profiling-node:1.0.5יוני 4, 2026
Npmגיוס כספים: 1.0.0יוני 4, 2026
Npmרגישות: 2.5.67יוני 4, 2026
Npmרגישות: 2.5.68יוני 4, 2026
Npmמודל-אינטראקציה-vg:40.0.5יוני 4, 2026
Npminternallib_v346:1.0.3יוני 4, 2026
Npminternallib_v346:1.0.5יוני 4, 2026
Npminternallib_v346:1.0.9יוני 4, 2026
Npmעוזרי ai-sdk:0.2.1יוני 4, 2026
Npmעוזרי ai-sdk:0.3.0יוני 4, 2026
Npmעוזרי ai-sdk:0.3.1יוני 4, 2026
Npmעוזרי ai-sdk:1.1.0יוני 4, 2026
Npmעוזרי ai-sdk:1.1.1יוני 4, 2026
Npmעוזרי ai-sdk:1.3.0יוני 4, 2026
Npmעוזרי ai-sdk:1.4.0יוני 4, 2026
Npmעוזרי ai-sdk:1.4.2יוני 4, 2026
Npm@achuthvp/postinstall-poc:1.0.3יוני 4, 2026
Npmרגישות: 2.5.0יוני 5, 2026
Npmרגישות: 2.5.1יוני 5, 2026
Npmרגישות: 2.5.2יוני 5, 2026
Npmרגישות: 2.5.3יוני 5, 2026
Npmרגישות: 2.5.4יוני 5, 2026
Npmרגישות: 2.5.5יוני 5, 2026
Npmרגישות: 2.5.13יוני 5, 2026
Npmרגישות: 2.5.14יוני 5, 2026
Npmרגישות: 2.5.15יוני 5, 2026
Npmרגישות: 2.5.33יוני 5, 2026
Npmרגישות: 2.5.34יוני 5, 2026
Npmרגישות: 2.5.35יוני 5, 2026
Npmרגישות: 2.5.36יוני 5, 2026
Npmרגישות: 2.5.37יוני 5, 2026
Npmרגישות: 2.5.38יוני 5, 2026
Npmרגישות: 2.5.58יוני 5, 2026
Npmרגישות: 2.5.59יוני 5, 2026
Npmרגישות: 2.5.60יוני 5, 2026
Npmרגישות: 2.5.62יוני 5, 2026
Npmרגישות: 2.5.63יוני 5, 2026
Npmרגישות: 2.5.64יוני 5, 2026
Npmרגישות: 2.5.65יוני 5, 2026
Npmרגישות: 2.5.66יוני 5, 2026
Npmרגישות: 2.5.69יוני 5, 2026


אבטחו את התלויות שלכם בקוד פתוח מפני פגיעויות וקוד זדוני

אל תאפשרו לחבילות זדוניות להגיע אליכם pipelines. זיהוי מוקדם של תוכנות זדוניות של Xygeni מעניק לצוות שלך נראות בזמן אמת על האיומים החשובים ביותר, ומזהה תלויות מזיקות עוד לפני שהן נוגעות בתוכנה שלך.

כפי שמבהיר תקציר השבוע, היקף ותחכום קמפיינים זדוניים של חבילות לא מאטים. הצפת גרסאות מתואמת, התחזות למודולי תשלום ושמות חבילות שנשמעים פנימיים הם רק חלק מהטקטיקות שבהן משתמשים התוקפים כדי לחמוק. standard הגנות. שמירה על צעד אחד קדימה מול איומים אלה דורשת יותר מביקורות תקופתיות, היא דורשת ניטור מתמשך בכל רישום שהצוותים שלכם תלויים בו.

קסיגני'ס Open Source Security הפתרון סורק וחוסם חבילות מזיקות בנקודת הפרסום, ב-npm, PyPI ומעבר. על ידי מתן עדיפות לפי הקשר לפגיעויות המהוות את הסיכון הגדול ביותר בעולם האמיתי (וייעול נתיב התיקון עבור צוותי ה-DevSecOps שלכם), Xygeni עוזר לכם לשמור על אספקת תוכנה מאובטחת ואמינה מבלי להאט את הפיתוח.

כלי SCA לניתוח קומפוזיציה - תוכנה
תעדוף, תיקון ואבטחת סיכוני התוכנה שלך
קבל את החשבון החינמי שלך.
אין צורך בכרטיס אשראי.

אבטחו את פיתוח ואספקת התוכנה שלכם

עם חבילת המוצרים Xygeni