ほぼ毎週当社のマルウェア検出システムは、npmやPyPIなどの公開レジストリ全体で、数千もの新規および更新されたパッケージをスキャンしています。今週は非常に活発な週でした。
確認しました 198個の悪意のあるパッケージ主に npm で発生し、PyPI、OpenVSX、Composer、VS Code 拡張機能でも同様の事例が見られました。いくつかの事例は連携して発生し、同じ名前または密接に関連するパッケージファミリーで悪意のあるリリースが繰り返し公開されました。特に注目すべき事例は、 sensivity パッケージは、2.5.x 範囲で 60 を超えるバージョン付きリリースを npm に大量に送り込んだ。その他の注目すべきクラスターには、 ai-sdk-helpers (AI開発者を対象とした8つのバージョン) @antoncallahan/aws-user-helper (AWSユーティリティを装った7つのバージョン) @apple-pay-trust (NAIST) と @google-pay-trust ファミリー(決済チェックアウトモジュールを模倣)、 @frengki0707/google-cloud-clone (Google Cloudを偽装した5つのバージョン)、 cms-storehub, cms-helpgit, cms-github (CMSをターゲットに) pipeline多くのパッケージは支払いとチェックアウトのモジュールを模倣しており、 enterprise また、内部ウェブパッケージ、分析クライアント、UI基盤、開発者ユーティリティ、コンポーネントエクスプローラー、クラウドおよびGoogle関連パッケージ、その他現代の開発ワークフローで一般的に信頼されているモジュールも含まれます。
これらは孤立した異常事態ではなかった。今週特に目立ったのは、同じパッケージファミリー間での繰り返し公開の規模、命名パターンの再利用、そして悪意のあるパッケージが正規のソフトウェア配信内で正当な依存関係に見せかけるように偽装されていた方法である。 pipelines.
この週次スナップショットは、継続的な悪意のあるコードダイジェストの一部であり、新しい脅威を検証し、DevSecOps チームが自社を保護するのに役立つ実用的な情報を提供します。 pipeline損傷が発生する前に。
今週判明した内容と、それがなぜ重要なのかを詳しく見ていきましょう。
| 生態系 | パッケージ | 日付 |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | 2026 年 5 月 30 日 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 2026 年 5 月 30 日 |
| npm | @maximvs1538/os-npm:99.0.0 | 2026 年 5 月 30 日 |
| npm | @easy-entry/landing-routes:99.9.5 | 2026 年 5 月 30 日 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | 2026 年 5 月 30 日 |
| npm | @easy-entry/routes:99.9.5 | 2026 年 5 月 30 日 |
| npm | @t-in-one/form_product_token:5.7.1 | 2026 年 5 月 30 日 |
| npm | @capibar.chat/ui-kit:99.5.7 | 2026 年 5 月 30 日 |
| vscode | xampp-manager:5.1.3 | 2026 年 5 月 30 日 |
| npm | @chat-template/auth:1.0.0 | 2026 年 5 月 31 日 |
| npm | json-to-simple-graphql-schema:1.0.0 | 2026 年 6 月 1 日 |
| npm | @gs-select/savings-client-application:99.0.0 | 2026 年 6 月 1 日 |
| npm | nemo-reporter:1.8.2 | 2026 年 6 月 1 日 |
| npm | cms-github:4.2.4 | 2026 年 6 月 1 日 |
| npm | cms-helpgit:4.2.6 | 2026 年 6 月 1 日 |
| npm | cms-helpgit:4.2.8 | 2026 年 6 月 1 日 |
| npm | cms-storehub:1.3.4 | 2026 年 6 月 1 日 |
| npm | cms-storehub:1.3.5 | 2026 年 6 月 1 日 |
| npm | cms-storehub:1.3.6 | 2026 年 6 月 1 日 |
| ピピ | simtooreal-cli:0.3.0 | 2026 年 6 月 1 日 |
| npm | 小売店舗立地戦略フロントエンド:1.1.1 | 2026 年 6 月 1 日 |
| npm | 小売店舗立地戦略フロントエンド:1.1.2 | 2026 年 6 月 1 日 |
| npm | conversa-sdk:2.0.2 | 2026 年 6 月 1 日 |
| npm | veltrix:9.0.0 | 2026 年 6 月 1 日 |
| npm | veltrix:9.0.1 | 2026 年 6 月 1 日 |
| npm | ジンメイデシシ:1.0.4 | 2026 年 6 月 1 日 |
| npm | ジンメイデシシ:1.0.5 | 2026 年 6 月 1 日 |
| npm | @tse-digital/core:99.0.0 | 2026 年 6 月 1 日 |
| npm | @telenor-se/core:99.0.0 | 2026 年 6 月 1 日 |
| npm | @ownit/core:99.0.0 | 2026 年 6 月 1 日 |
| npm | 患者文書:75.0.0 | 2026 年 6 月 1 日 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | 2026 年 6 月 1 日 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | 2026 年 6 月 1 日 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | 2026 年 6 月 1 日 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | 2026 年 6 月 1 日 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | 2026 年 6 月 1 日 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | 2026 年 6 月 1 日 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | 2026 年 6 月 1 日 |
| npm | @emcd-vue/auth:6.4.9 | 2026 年 6 月 1 日 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | 2026 年 6 月 1 日 |
| npm | @ccrm/ユーザーストレージ-api-axios:5.0.1 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.8 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.12 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.16 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.17 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.18 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.19 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.20 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.21 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.22 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.23 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.24 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.25 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.26 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.27 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.28 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.29 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.30 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.31 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.32 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.41 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.42 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.43 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.44 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.45 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.46 | 2026 年 6 月 2 日 |
| npm | meoo-ui-helpers:1.0.1 | 2026 年 6 月 2 日 |
| npm | @langgraphjs/toolkit:1.2.10 | 2026 年 6 月 2 日 |
| npm | eyevox:9.0.1 | 2026 年 6 月 2 日 |
| npm | 感度:2.5.53 | 2026 年 6 月 3 日 |
| npm | 感度:2.5.54 | 2026 年 6 月 3 日 |
| npm | 感度:2.5.55 | 2026 年 6 月 3 日 |
| npm | 感度:2.5.56 | 2026 年 6 月 3 日 |
| npm | 感度:2.5.57 | 2026 年 6 月 3 日 |
| npm | 感度:2.5.61 | 2026 年 6 月 3 日 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | 2026 年 6 月 4 日 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | 2026 年 6 月 4 日 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | 2026 年 6 月 4 日 |
| npm | fundraiserserv:1.0.0 | 2026 年 6 月 4 日 |
| npm | 感度:2.5.67 | 2026 年 6 月 4 日 |
| npm | 感度:2.5.68 | 2026 年 6 月 4 日 |
| npm | vg-interaction-model:40.0.5 | 2026 年 6 月 4 日 |
| npm | internallib_v346:1.0.3 | 2026 年 6 月 4 日 |
| npm | internallib_v346:1.0.5 | 2026 年 6 月 4 日 |
| npm | internallib_v346:1.0.9 | 2026 年 6 月 4 日 |
| npm | ai-sdk-helpers:0.2.1 | 2026 年 6 月 4 日 |
| npm | ai-sdk-helpers:0.3.0 | 2026 年 6 月 4 日 |
| npm | ai-sdk-helpers:0.3.1 | 2026 年 6 月 4 日 |
| npm | ai-sdk-helpers:1.1.0 | 2026 年 6 月 4 日 |
| npm | ai-sdk-helpers:1.1.1 | 2026 年 6 月 4 日 |
| npm | ai-sdk-helpers:1.3.0 | 2026 年 6 月 4 日 |
| npm | ai-sdk-helpers:1.4.0 | 2026 年 6 月 4 日 |
| npm | ai-sdk-helpers:1.4.2 | 2026 年 6 月 4 日 |
| npm | @achuthvp/postinstall-poc:1.0.3 | 2026 年 6 月 4 日 |
| npm | 感度:2.5.0 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.1 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.2 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.3 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.4 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.5 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.13 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.14 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.15 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.33 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.34 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.35 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.36 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.37 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.38 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.58 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.59 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.60 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.62 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.63 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.64 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.65 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.66 | 2026 年 6 月 5 日 |
| npm | 感度:2.5.69 | 2026 年 6 月 5 日 |
オープンソースの依存関係を脆弱性や悪意のあるコードから保護する
悪意のあるパッケージがあなたの pipelines. Xygeni早期マルウェア検出 最も重要な脅威をリアルタイムで把握できるため、有害な依存関係がソフトウェアに影響を与える前に検出できます。
今週のダイジェストで明らかになったように、悪意のあるパッケージキャンペーンの量と巧妙さは衰える気配がありません。組織的なバージョンフラッディング、決済モジュールのなりすまし、内部的なパッケージ名などは、攻撃者がシステムをすり抜けるために使用している戦術のほんの一部にすぎません。 standard 防御策。これらの脅威に先手を打つには、定期的な監査だけでは不十分で、チームが依存するすべてのレジストリを継続的に監視する必要があります。
ザイジェニの Open Source Security このソリューションは、npm、PyPI、そしてそれ以外のプラットフォーム全体において、公開時点で有害なパッケージをスキャンしてブロックします。現実世界で最大のリスクをもたらす脆弱性を状況に応じて優先し(DevSecOpsチームの修復プロセスを効率化することで)、Xygeniは開発速度を落とすことなく、安全で信頼性の高いソフトウェア配信を維持できるよう支援します。




