თითქმის ყოველ კვირასჩვენი მავნე პროგრამების აღმოჩენის სისტემები სკანირებენ ათასობით ახალ და განახლებულ პაკეტს საჯარო რეესტრებში, როგორიცაა npm და PyPI. ეს კვირა ძალიან აქტიური იყო.
ჩვენ დავადასტურეთ 198 მავნე პაკეტი, ძირითადად npm-ზე, დამატებითი შემთხვევებით PyPI, OpenVSX, Composer და VS Code გაფართოებებში. რამდენიმე მათგანი კოორდინირებულ კლასტერებში გამოჩნდა, განმეორებითი მავნე გამოშვებებით, რომლებიც ერთი და იგივე სახელწოდებით ან მჭიდროდ დაკავშირებული პაკეტების ოჯახებში გამოქვეყნდა. გამორჩეული შემთხვევა იყო sensivity პაკეტი, რომელმაც npm 2.5.x დიაპაზონში 60-ზე მეტი ვერსიიანი ვერსიით გაავსო. სხვა აღსანიშნავი კლასტერები მოიცავდა ai-sdk-helpers (8 ვერსია, რომლებიც ხელოვნური ინტელექტის დეველოპერებზეა ორიენტირებული), @antoncallahan/aws-user-helper (7 ვერსია, რომლებიც AWS უტილიტის იმიტაციას ახდენენ), @apple-pay-trust მდე @google-pay-trust ოჯახები (გადახდის შეკვეთის მოდულების იმიტაცია), @frengki0707/google-cloud-clone (5 ვერსია, რომლებიც Google Cloud-ს აფორიაქებენ) და cms-storehub, cms-helpgitდა cms-github (CMS-ის მიზნობრივი pipelineს). ბევრი პაკეტი გადახდისა და შეკვეთის გაფორმების მოდულებს ბაძავდა, enterprise და შიდა ვებ პაკეტები, ანალიტიკური კლიენტები, UI საფუძვლები, დეველოპერის უტილიტები, კომპონენტების მკვლევარები, ღრუბლოვანი და Google-ის თემატიკის პაკეტები და სხვა მოდულები, რომლებსაც ხშირად ენდობით თანამედროვე დეველოპერების სამუშაო პროცესებში.
ეს არ იყო იზოლირებული ანომალიები. ამ კვირაში გამოირჩეოდა ერთი და იგივე პაკეტების ოჯახებში განმეორებითი გამოქვეყნების მასშტაბები, სახელდების ნიმუშების ხელახალი გამოყენება და ის, თუ როგორ შენიღბეს მავნე პაკეტები, რათა რეალური პროგრამული უზრუნველყოფის მიწოდების ფარგლებში ლეგიტიმურ დამოკიდებულებებად გამოჩენილიყვნენ. pipelines.
ეს ყოველკვირეული მიმოხილვა ჩვენი მიმდინარე „მავნე კოდის დაიჯესტის“ ნაწილია, სადაც ჩვენ ვადასტურებთ ახალ საფრთხეებს და ვაწვდით ქმედით ინფორმაციას, რათა დავეხმაროთ DevSecOps გუნდებს თავიანთი... pipelineდაზიანების მოხდენამდე.
მოდით, გავაანალიზოთ, რა აღმოვაჩინეთ ამ კვირაში და რატომ არის ეს მნიშვნელოვანი.
| ეკოსისტემა | პაკეტი | თარიღი |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | შეიძლება 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | შეიძლება 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | შეიძლება 30, 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | შეიძლება 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | შეიძლება 30, 2026 |
| npm | @easy-entry/routes:99.9.5 | შეიძლება 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | შეიძლება 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | შეიძლება 30, 2026 |
| vscode | xampp-მენეჯერი:5.1.3 | შეიძლება 30, 2026 |
| npm | @ჩატის-შაბლონი/ავტორიზაცია:1.0.0 | შეიძლება 31, 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | Jun 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Jun 1, 2026 |
| npm | ნემო-რეპორტიორი: 1.8.2 | Jun 1, 2026 |
| npm | cms-github:4.2.4 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.6 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.8 | Jun 1, 2026 |
| npm | cms-storehub:1.3.4 | Jun 1, 2026 |
| npm | cms-storehub:1.3.5 | Jun 1, 2026 |
| npm | cms-storehub:1.3.6 | Jun 1, 2026 |
| პიპი | simtooreal-cli:0.3.0 | Jun 1, 2026 |
| npm | საცალო ვაჭრობის ადგილმდებარეობის სტრატეგიის წინა მხარე: 1.1.1 | Jun 1, 2026 |
| npm | საცალო ვაჭრობის ადგილმდებარეობის სტრატეგიის წინა მხარე: 1.1.2 | Jun 1, 2026 |
| npm | conversa-sdk:2.0.2 | Jun 1, 2026 |
| npm | ველტრიქსი:9.0.0 | Jun 1, 2026 |
| npm | ველტრიქსი:9.0.1 | Jun 1, 2026 |
| npm | ჯინგმეიდეშიში: 1.0.4 | Jun 1, 2026 |
| npm | ჯინგმეიდეშიში: 1.0.5 | Jun 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Jun 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Jun 1, 2026 |
| npm | @ownit/core:99.0.0 | Jun 1, 2026 |
| npm | პაციენტის დოკუმენტები: 75.0.0 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Jun 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Jun 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | Jun 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.8 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.12 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.16 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.17 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.18 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.19 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.20 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.21 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.22 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.23 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.24 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.25 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.26 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.27 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.28 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.29 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.30 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.31 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.32 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.41 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.42 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.43 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.44 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.45 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.46 | Jun 2, 2026 |
| npm | meoo-ui-დამხმარეები:1.0.1 | Jun 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Jun 2, 2026 |
| npm | eyevox:9.0.1 | Jun 2, 2026 |
| npm | მგრძნობელობა: 2.5.53 | Jun 3, 2026 |
| npm | მგრძნობელობა: 2.5.54 | Jun 3, 2026 |
| npm | მგრძნობელობა: 2.5.55 | Jun 3, 2026 |
| npm | მგრძნობელობა: 2.5.56 | Jun 3, 2026 |
| npm | მგრძნობელობა: 2.5.57 | Jun 3, 2026 |
| npm | მგრძნობელობა: 2.5.61 | Jun 3, 2026 |
| npm | @sentry-browser-sdk/პროფილირების კვანძი:1.0.1 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/პროფილირების კვანძი:1.0.2 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/პროფილირების კვანძი:1.0.5 | Jun 4, 2026 |
| npm | სახსრების მოზიდვის სერვისი: 1.0.0 | Jun 4, 2026 |
| npm | მგრძნობელობა: 2.5.67 | Jun 4, 2026 |
| npm | მგრძნობელობა: 2.5.68 | Jun 4, 2026 |
| npm | vg-ურთიერთქმედების მოდელი:40.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.3 | Jun 4, 2026 |
| npm | internallib_v346:1.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.9 | Jun 4, 2026 |
| npm | ai-sdk-დამხმარეები: 0.2.1 | Jun 4, 2026 |
| npm | ai-sdk-დამხმარეები: 0.3.0 | Jun 4, 2026 |
| npm | ai-sdk-დამხმარეები: 0.3.1 | Jun 4, 2026 |
| npm | ai-sdk-დამხმარეები: 1.1.0 | Jun 4, 2026 |
| npm | ai-sdk-დამხმარეები: 1.1.1 | Jun 4, 2026 |
| npm | ai-sdk-დამხმარეები: 1.3.0 | Jun 4, 2026 |
| npm | ai-sdk-დამხმარეები: 1.4.0 | Jun 4, 2026 |
| npm | ai-sdk-დამხმარეები: 1.4.2 | Jun 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Jun 4, 2026 |
| npm | მგრძნობელობა: 2.5.0 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.1 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.2 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.3 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.4 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.5 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.13 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.14 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.15 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.33 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.34 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.35 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.36 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.37 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.38 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.58 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.59 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.60 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.62 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.63 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.64 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.65 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.66 | Jun 5, 2026 |
| npm | მგრძნობელობა: 2.5.69 | Jun 5, 2026 |
დაიცავით თქვენი ღია კოდის დამოკიდებულებები დაუცველობისა და მავნე კოდისგან
არ მისცეთ მავნე პაკეტებს თქვენამდე მოღწევის უფლება pipelines. Xygeni-ის მავნე პროგრამების ადრეული გამოვლენა თქვენს გუნდს აძლევს რეალურ დროში ხილვადობას ყველაზე მნიშვნელოვანი საფრთხეების შესახებ და აფიქსირებს მავნე დამოკიდებულებებს მანამ, სანამ ისინი თქვენს პროგრამულ უზრუნველყოფას შეეხებიან.
როგორც ამ კვირის დაიჯესტიდან ირკვევა, მავნე პაკეტების კამპანიების მოცულობა და დახვეწილობა არ ნელდება. კოორდინირებული ვერსიების დატბორვა, გადახდის მოდულის იმიტაცია და პაკეტების შიდა სახელწოდებების გამოყენება მხოლოდ რამდენიმე ტაქტიკაა, რომელსაც თავდამსხმელები იყენებენ გვერდის ავლისთვის. standard თავდაცვა. ამ საფრთხეებთან გამკლავება პერიოდულ აუდიტზე მეტს მოითხოვს, ის მოითხოვს უწყვეტ მონიტორინგს ყველა რეესტრში, რომელზეც თქვენი გუნდები არიან დამოკიდებულნი.
ქსიგენი Open Source Security გადაწყვეტა სკანირებს და ბლოკავს მავნე პაკეტებს გამოქვეყნებისთანავე, npm-ში, PyPI-ში და სხვა სისტემებში. კონტექსტუალურად პრიორიტეტული დაუცველობების მინიჭებით, რომლებიც რეალურ სამყაროში ყველაზე დიდ რისკს წარმოადგენენ (და თქვენი DevSecOps გუნდებისთვის გამოსწორების გზის გამარტივებით), Xygeni დაგეხმარებათ შეინარჩუნოთ პროგრამული უზრუნველყოფის უსაფრთხო და საიმედო მიწოდება განვითარების შენელების გარეშე.




