כמעט כל שבועמערכות זיהוי התוכנות הזדוניות שלנו סורקות אלפי חבילות חדשות ומעודכנות ברישומים ציבוריים כמו npm ו-PyPI. השבוע היה פעיל מאוד.
אישרנו 198 חבילות זדוניות, בעיקר ב-npm, עם מקרים נוספים בהרחבות PyPI, OpenVSX, Composer ו-VS Code. כמה מהם הופיעו באשכולות מתואמים, עם פרסומים זדוניים חוזרים ונשנים שפורסמו תחת אותם שמות או במשפחות חבילות קרובות. מקרה בולט היה ה- sensivity חבילה, אשר הציפה את npm ביותר מ-60 גרסאות מעודכנות בטווח 2.5.x. אשכולות בולטים נוספים כללו ai-sdk-helpers (8 גרסאות המכוונות למפתחי בינה מלאכותית), @antoncallahan/aws-user-helper (7 גרסאות המתחזות לתוכנת AWS), @apple-pay-trust ו @google-pay-trust משפחות (מחקות מודולי תשלום לקופה), @frengki0707/google-cloud-clone (5 גרסאות מזייפות את גוגל קלאוד), ו cms-storehub, cms-helpgit, ו cms-github (מיקוד למערכת ניהול תוכן pipelineחבילות רבות חיקו מודולים של תשלום ותשלום, enterprise וחבילות אינטרנט פנימיות, לקוחות ניתוח נתונים, יסודות ממשק משתמש, כלי עזר למפתחים, רכיבי חיפוש, חבילות ענן וגוגל, ומודולים אחרים הנפוצים בתהליכי עבודה מודרניים של פיתוח.
אלה לא היו אנומליות בודדות. מה שבלט השבוע היה היקף הפרסום החוזר ונשנה באותן משפחות חבילות, השימוש החוזר בדפוסי שמות, והאופן שבו חבילות זדוניות הוסוו כך שיראו כתלות לגיטימיות בתוך אספקת תוכנה אמיתית. pipelines.
תמונת מצב שבועית זו היא חלק מסקירת הקוד הזדוני המתמשכת שלנו, שבה אנו מאמתים איומים חדשים ומספקים מודיעין מעשי שיעזור לצוותי DevSecOps להגן עליהם. pipelineלפני שיתרחש נזק.
בואו ננתח מה גילינו השבוע ולמה זה חשוב.
| מערכת אקולוגית | חֲבִילָה | תַאֲרִיך |
|---|---|---|
| Npm | @cloudplatform-single-spa/administration:99.99.100 | מאי 30, 2026 |
| Npm | אחסון_svp-s3_cloudplatform-single-spa:99.99.100 | מאי 30, 2026 |
| Npm | @maximvs1538/os-npm:99.0.0 | מאי 30, 2026 |
| Npm | @נתיבי כניסה/נחיתה קלים:99.9.5 | מאי 30, 2026 |
| Npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | מאי 30, 2026 |
| Npm | @כניסה-קלה/מסלולים:99.9.5 | מאי 30, 2026 |
| Npm | @t-in-one/טופס_מוצר_אסימון:5.7.1 | מאי 30, 2026 |
| Npm | @capibar.chat/ui-kit:99.5.7 | מאי 30, 2026 |
| vscode | מנהל-xampp:5.1.3 | מאי 30, 2026 |
| Npm | @תבנית-צ'אט/אישור:1.0.0 | מאי 31, 2026 |
| Npm | json-to-simple-graphql-schema:1.0.0 | יוני 1, 2026 |
| Npm | @gs-select/savings-client-application:99.0.0 | יוני 1, 2026 |
| Npm | nemo-reporter:1.8.2 | יוני 1, 2026 |
| Npm | cms-github:4.2.4 | יוני 1, 2026 |
| Npm | cms-helpgit:4.2.6 | יוני 1, 2026 |
| Npm | cms-helpgit:4.2.8 | יוני 1, 2026 |
| Npm | cms-storehub:1.3.4 | יוני 1, 2026 |
| Npm | cms-storehub:1.3.5 | יוני 1, 2026 |
| Npm | cms-storehub:1.3.6 | יוני 1, 2026 |
| פיפי | simtooreal-cli:0.3.0 | יוני 1, 2026 |
| Npm | ממשק אסטרטגיית מיקום קמעונאי: 1.1.1 | יוני 1, 2026 |
| Npm | ממשק אסטרטגיית מיקום קמעונאי: 1.1.2 | יוני 1, 2026 |
| Npm | conversa-sdk:2.0.2 | יוני 1, 2026 |
| Npm | ולטריקס:9.0.0 | יוני 1, 2026 |
| Npm | ולטריקס:9.0.1 | יוני 1, 2026 |
| Npm | jingmeideshishi:1.0.4 | יוני 1, 2026 |
| Npm | jingmeideshishi:1.0.5 | יוני 1, 2026 |
| Npm | @tse-digital/core:99.0.0 | יוני 1, 2026 |
| Npm | @telenor-se/core:99.0.0 | יוני 1, 2026 |
| Npm | @ownit/core:99.0.0 | יוני 1, 2026 |
| Npm | מסמכי מטופל: 75.0.0 | יוני 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.69 | יוני 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.68 | יוני 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.82 | יוני 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.80 | יוני 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.81 | יוני 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.83 | יוני 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.3 | יוני 1, 2026 |
| Npm | @emcd-vue/auth:6.4.9 | יוני 1, 2026 |
| Npm | @emcd-vue/b2b-pay-form:5.7.4 | יוני 1, 2026 |
| Npm | @ccrm/user-storage-api-axios:5.0.1 | יוני 2, 2026 |
| Npm | רגישות: 2.5.8 | יוני 2, 2026 |
| Npm | רגישות: 2.5.12 | יוני 2, 2026 |
| Npm | רגישות: 2.5.16 | יוני 2, 2026 |
| Npm | רגישות: 2.5.17 | יוני 2, 2026 |
| Npm | רגישות: 2.5.18 | יוני 2, 2026 |
| Npm | רגישות: 2.5.19 | יוני 2, 2026 |
| Npm | רגישות: 2.5.20 | יוני 2, 2026 |
| Npm | רגישות: 2.5.21 | יוני 2, 2026 |
| Npm | רגישות: 2.5.22 | יוני 2, 2026 |
| Npm | רגישות: 2.5.23 | יוני 2, 2026 |
| Npm | רגישות: 2.5.24 | יוני 2, 2026 |
| Npm | רגישות: 2.5.25 | יוני 2, 2026 |
| Npm | רגישות: 2.5.26 | יוני 2, 2026 |
| Npm | רגישות: 2.5.27 | יוני 2, 2026 |
| Npm | רגישות: 2.5.28 | יוני 2, 2026 |
| Npm | רגישות: 2.5.29 | יוני 2, 2026 |
| Npm | רגישות: 2.5.30 | יוני 2, 2026 |
| Npm | רגישות: 2.5.31 | יוני 2, 2026 |
| Npm | רגישות: 2.5.32 | יוני 2, 2026 |
| Npm | רגישות: 2.5.41 | יוני 2, 2026 |
| Npm | רגישות: 2.5.42 | יוני 2, 2026 |
| Npm | רגישות: 2.5.43 | יוני 2, 2026 |
| Npm | רגישות: 2.5.44 | יוני 2, 2026 |
| Npm | רגישות: 2.5.45 | יוני 2, 2026 |
| Npm | רגישות: 2.5.46 | יוני 2, 2026 |
| Npm | meoo-ui-helpers:1.0.1 | יוני 2, 2026 |
| Npm | @langgraphjs/ערכת כלים:1.2.10 | יוני 2, 2026 |
| Npm | איי-ווקס: 9.0.1 | יוני 2, 2026 |
| Npm | רגישות: 2.5.53 | יוני 3, 2026 |
| Npm | רגישות: 2.5.54 | יוני 3, 2026 |
| Npm | רגישות: 2.5.55 | יוני 3, 2026 |
| Npm | רגישות: 2.5.56 | יוני 3, 2026 |
| Npm | רגישות: 2.5.57 | יוני 3, 2026 |
| Npm | רגישות: 2.5.61 | יוני 3, 2026 |
| Npm | @sentry-browser-sdk/profiling-node:1.0.1 | יוני 4, 2026 |
| Npm | @sentry-browser-sdk/profiling-node:1.0.2 | יוני 4, 2026 |
| Npm | @sentry-browser-sdk/profiling-node:1.0.5 | יוני 4, 2026 |
| Npm | גיוס כספים: 1.0.0 | יוני 4, 2026 |
| Npm | רגישות: 2.5.67 | יוני 4, 2026 |
| Npm | רגישות: 2.5.68 | יוני 4, 2026 |
| Npm | מודל-אינטראקציה-vg:40.0.5 | יוני 4, 2026 |
| Npm | internallib_v346:1.0.3 | יוני 4, 2026 |
| Npm | internallib_v346:1.0.5 | יוני 4, 2026 |
| Npm | internallib_v346:1.0.9 | יוני 4, 2026 |
| Npm | עוזרי ai-sdk:0.2.1 | יוני 4, 2026 |
| Npm | עוזרי ai-sdk:0.3.0 | יוני 4, 2026 |
| Npm | עוזרי ai-sdk:0.3.1 | יוני 4, 2026 |
| Npm | עוזרי ai-sdk:1.1.0 | יוני 4, 2026 |
| Npm | עוזרי ai-sdk:1.1.1 | יוני 4, 2026 |
| Npm | עוזרי ai-sdk:1.3.0 | יוני 4, 2026 |
| Npm | עוזרי ai-sdk:1.4.0 | יוני 4, 2026 |
| Npm | עוזרי ai-sdk:1.4.2 | יוני 4, 2026 |
| Npm | @achuthvp/postinstall-poc:1.0.3 | יוני 4, 2026 |
| Npm | רגישות: 2.5.0 | יוני 5, 2026 |
| Npm | רגישות: 2.5.1 | יוני 5, 2026 |
| Npm | רגישות: 2.5.2 | יוני 5, 2026 |
| Npm | רגישות: 2.5.3 | יוני 5, 2026 |
| Npm | רגישות: 2.5.4 | יוני 5, 2026 |
| Npm | רגישות: 2.5.5 | יוני 5, 2026 |
| Npm | רגישות: 2.5.13 | יוני 5, 2026 |
| Npm | רגישות: 2.5.14 | יוני 5, 2026 |
| Npm | רגישות: 2.5.15 | יוני 5, 2026 |
| Npm | רגישות: 2.5.33 | יוני 5, 2026 |
| Npm | רגישות: 2.5.34 | יוני 5, 2026 |
| Npm | רגישות: 2.5.35 | יוני 5, 2026 |
| Npm | רגישות: 2.5.36 | יוני 5, 2026 |
| Npm | רגישות: 2.5.37 | יוני 5, 2026 |
| Npm | רגישות: 2.5.38 | יוני 5, 2026 |
| Npm | רגישות: 2.5.58 | יוני 5, 2026 |
| Npm | רגישות: 2.5.59 | יוני 5, 2026 |
| Npm | רגישות: 2.5.60 | יוני 5, 2026 |
| Npm | רגישות: 2.5.62 | יוני 5, 2026 |
| Npm | רגישות: 2.5.63 | יוני 5, 2026 |
| Npm | רגישות: 2.5.64 | יוני 5, 2026 |
| Npm | רגישות: 2.5.65 | יוני 5, 2026 |
| Npm | רגישות: 2.5.66 | יוני 5, 2026 |
| Npm | רגישות: 2.5.69 | יוני 5, 2026 |
אבטחו את התלויות שלכם בקוד פתוח מפני פגיעויות וקוד זדוני
אל תאפשרו לחבילות זדוניות להגיע אליכם pipelines. זיהוי מוקדם של תוכנות זדוניות של Xygeni מעניק לצוות שלך נראות בזמן אמת על האיומים החשובים ביותר, ומזהה תלויות מזיקות עוד לפני שהן נוגעות בתוכנה שלך.
כפי שמבהיר תקציר השבוע, היקף ותחכום קמפיינים זדוניים של חבילות לא מאטים. הצפת גרסאות מתואמת, התחזות למודולי תשלום ושמות חבילות שנשמעים פנימיים הם רק חלק מהטקטיקות שבהן משתמשים התוקפים כדי לחמוק. standard הגנות. שמירה על צעד אחד קדימה מול איומים אלה דורשת יותר מביקורות תקופתיות, היא דורשת ניטור מתמשך בכל רישום שהצוותים שלכם תלויים בו.
קסיגני'ס Open Source Security הפתרון סורק וחוסם חבילות מזיקות בנקודת הפרסום, ב-npm, PyPI ומעבר. על ידי מתן עדיפות לפי הקשר לפגיעויות המהוות את הסיכון הגדול ביותר בעולם האמיתי (וייעול נתיב התיקון עבור צוותי ה-DevSecOps שלכם), Xygeni עוזר לכם לשמור על אספקת תוכנה מאובטחת ואמינה מבלי להאט את הפיתוח.




