მავნე კოდის დაიჯესტი 73

Xygeni-ის მავნე კოდის დაიჯესტი 73

სარჩევი

აუცილებლად წასაკითხი პოსტები

ხელოვნური ინვენტარიზაციის პროგრამული უზრუნველყოფა
რა არის ხელოვნური ინვენტარი? პრაქტიკული სახელმძღვანელო ხელოვნური ინტელექტის აქტივების აღმოჩენის, ხელოვნური ინტელექტის აქტივების ძიების, ხელოვნური ინტელექტის აქტივების ძიების და ჩრდილოვანი ხელოვნური ინტელექტის შესახებ.

საინტერესო უახლესი პოსტები

თითქმის ყოველ კვირასჩვენი მავნე პროგრამების აღმოჩენის სისტემები სკანირებენ ათასობით ახალ და განახლებულ პაკეტს საჯარო რეესტრებში, როგორიცაა npm და PyPI. ეს კვირა ძალიან აქტიური იყო.

ჩვენ დავადასტურეთ 198 მავნე პაკეტი, ძირითადად npm-ზე, დამატებითი შემთხვევებით PyPI, OpenVSX, Composer და VS Code გაფართოებებში. რამდენიმე მათგანი კოორდინირებულ კლასტერებში გამოჩნდა, განმეორებითი მავნე გამოშვებებით, რომლებიც ერთი და იგივე სახელწოდებით ან მჭიდროდ დაკავშირებული პაკეტების ოჯახებში გამოქვეყნდა. გამორჩეული შემთხვევა იყო sensivity პაკეტი, რომელმაც npm 2.5.x დიაპაზონში 60-ზე მეტი ვერსიიანი ვერსიით გაავსო. სხვა აღსანიშნავი კლასტერები მოიცავდა ai-sdk-helpers (8 ვერსია, რომლებიც ხელოვნური ინტელექტის დეველოპერებზეა ორიენტირებული), @antoncallahan/aws-user-helper (7 ვერსია, რომლებიც AWS უტილიტის იმიტაციას ახდენენ), @apple-pay-trust მდე @google-pay-trust ოჯახები (გადახდის შეკვეთის მოდულების იმიტაცია), @frengki0707/google-cloud-clone (5 ვერსია, რომლებიც Google Cloud-ს აფორიაქებენ) და cms-storehub, cms-helpgitდა cms-github (CMS-ის მიზნობრივი pipelineს). ბევრი პაკეტი გადახდისა და შეკვეთის გაფორმების მოდულებს ბაძავდა, enterprise და შიდა ვებ პაკეტები, ანალიტიკური კლიენტები, UI საფუძვლები, დეველოპერის უტილიტები, კომპონენტების მკვლევარები, ღრუბლოვანი და Google-ის თემატიკის პაკეტები და სხვა მოდულები, რომლებსაც ხშირად ენდობით თანამედროვე დეველოპერების სამუშაო პროცესებში.

ეს არ იყო იზოლირებული ანომალიები. ამ კვირაში გამოირჩეოდა ერთი და იგივე პაკეტების ოჯახებში განმეორებითი გამოქვეყნების მასშტაბები, სახელდების ნიმუშების ხელახალი გამოყენება და ის, თუ როგორ შენიღბეს მავნე პაკეტები, რათა რეალური პროგრამული უზრუნველყოფის მიწოდების ფარგლებში ლეგიტიმურ დამოკიდებულებებად გამოჩენილიყვნენ. pipelines.

ეს ყოველკვირეული მიმოხილვა ჩვენი მიმდინარე „მავნე კოდის დაიჯესტის“ ნაწილია, სადაც ჩვენ ვადასტურებთ ახალ საფრთხეებს და ვაწვდით ქმედით ინფორმაციას, რათა დავეხმაროთ DevSecOps გუნდებს თავიანთი... pipelineდაზიანების მოხდენამდე.

მოდით, გავაანალიზოთ, რა აღმოვაჩინეთ ამ კვირაში და რატომ არის ეს მნიშვნელოვანი.

დადასტურებული მავნე პაკეტები
ეკოსისტემა პაკეტი თარიღი
npm@cloudplatform-single-spa/administration:99.99.100შეიძლება 30, 2026
npm@cloudplatform-single-spa/svp-s3-storage:99.99.100შეიძლება 30, 2026
npm@maximvs1538/os-npm:99.0.0შეიძლება 30, 2026
npm@easy-entry/landing-routes:99.9.5შეიძლება 30, 2026
npm@easy-entry/outside-registration-fop-navigator:99.9.5შეიძლება 30, 2026
npm@easy-entry/routes:99.9.5შეიძლება 30, 2026
npm@t-in-one/form_product_token:5.7.1შეიძლება 30, 2026
npm@capibar.chat/ui-kit:99.5.7შეიძლება 30, 2026
vscodexampp-მენეჯერი:5.1.3შეიძლება 30, 2026
npm@ჩატის-შაბლონი/ავტორიზაცია:1.0.0შეიძლება 31, 2026
npmjson-to-simple-graphql-schema:1.0.0Jun 1, 2026
npm@gs-select/savings-client-application:99.0.0Jun 1, 2026
npmნემო-რეპორტიორი: 1.8.2Jun 1, 2026
npmcms-github:4.2.4Jun 1, 2026
npmcms-helpgit:4.2.6Jun 1, 2026
npmcms-helpgit:4.2.8Jun 1, 2026
npmcms-storehub:1.3.4Jun 1, 2026
npmcms-storehub:1.3.5Jun 1, 2026
npmcms-storehub:1.3.6Jun 1, 2026
პიპიsimtooreal-cli:0.3.0Jun 1, 2026
npmსაცალო ვაჭრობის ადგილმდებარეობის სტრატეგიის წინა მხარე: 1.1.1Jun 1, 2026
npmსაცალო ვაჭრობის ადგილმდებარეობის სტრატეგიის წინა მხარე: 1.1.2Jun 1, 2026
npmconversa-sdk:2.0.2Jun 1, 2026
npmველტრიქსი:9.0.0Jun 1, 2026
npmველტრიქსი:9.0.1Jun 1, 2026
npmჯინგმეიდეშიში: 1.0.4Jun 1, 2026
npmჯინგმეიდეშიში: 1.0.5Jun 1, 2026
npm@tse-digital/core:99.0.0Jun 1, 2026
npm@telenor-se/core:99.0.0Jun 1, 2026
npm@ownit/core:99.0.0Jun 1, 2026
npmპაციენტის დოკუმენტები: 75.0.0Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.69Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.68Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.82Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.80Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.81Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.83Jun 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.3Jun 1, 2026
npm@emcd-vue/auth:6.4.9Jun 1, 2026
npm@emcd-vue/b2b-pay-form:5.7.4Jun 1, 2026
npm@ccrm/user-storage-api-axios:5.0.1Jun 2, 2026
npmმგრძნობელობა: 2.5.8Jun 2, 2026
npmმგრძნობელობა: 2.5.12Jun 2, 2026
npmმგრძნობელობა: 2.5.16Jun 2, 2026
npmმგრძნობელობა: 2.5.17Jun 2, 2026
npmმგრძნობელობა: 2.5.18Jun 2, 2026
npmმგრძნობელობა: 2.5.19Jun 2, 2026
npmმგრძნობელობა: 2.5.20Jun 2, 2026
npmმგრძნობელობა: 2.5.21Jun 2, 2026
npmმგრძნობელობა: 2.5.22Jun 2, 2026
npmმგრძნობელობა: 2.5.23Jun 2, 2026
npmმგრძნობელობა: 2.5.24Jun 2, 2026
npmმგრძნობელობა: 2.5.25Jun 2, 2026
npmმგრძნობელობა: 2.5.26Jun 2, 2026
npmმგრძნობელობა: 2.5.27Jun 2, 2026
npmმგრძნობელობა: 2.5.28Jun 2, 2026
npmმგრძნობელობა: 2.5.29Jun 2, 2026
npmმგრძნობელობა: 2.5.30Jun 2, 2026
npmმგრძნობელობა: 2.5.31Jun 2, 2026
npmმგრძნობელობა: 2.5.32Jun 2, 2026
npmმგრძნობელობა: 2.5.41Jun 2, 2026
npmმგრძნობელობა: 2.5.42Jun 2, 2026
npmმგრძნობელობა: 2.5.43Jun 2, 2026
npmმგრძნობელობა: 2.5.44Jun 2, 2026
npmმგრძნობელობა: 2.5.45Jun 2, 2026
npmმგრძნობელობა: 2.5.46Jun 2, 2026
npmmeoo-ui-დამხმარეები:1.0.1Jun 2, 2026
npm@langgraphjs/toolkit:1.2.10Jun 2, 2026
npmeyevox:9.0.1Jun 2, 2026
npmმგრძნობელობა: 2.5.53Jun 3, 2026
npmმგრძნობელობა: 2.5.54Jun 3, 2026
npmმგრძნობელობა: 2.5.55Jun 3, 2026
npmმგრძნობელობა: 2.5.56Jun 3, 2026
npmმგრძნობელობა: 2.5.57Jun 3, 2026
npmმგრძნობელობა: 2.5.61Jun 3, 2026
npm@sentry-browser-sdk/პროფილირების კვანძი:1.0.1Jun 4, 2026
npm@sentry-browser-sdk/პროფილირების კვანძი:1.0.2Jun 4, 2026
npm@sentry-browser-sdk/პროფილირების კვანძი:1.0.5Jun 4, 2026
npmსახსრების მოზიდვის სერვისი: 1.0.0Jun 4, 2026
npmმგრძნობელობა: 2.5.67Jun 4, 2026
npmმგრძნობელობა: 2.5.68Jun 4, 2026
npmvg-ურთიერთქმედების მოდელი:40.0.5Jun 4, 2026
npminternallib_v346:1.0.3Jun 4, 2026
npminternallib_v346:1.0.5Jun 4, 2026
npminternallib_v346:1.0.9Jun 4, 2026
npmai-sdk-დამხმარეები: 0.2.1Jun 4, 2026
npmai-sdk-დამხმარეები: 0.3.0Jun 4, 2026
npmai-sdk-დამხმარეები: 0.3.1Jun 4, 2026
npmai-sdk-დამხმარეები: 1.1.0Jun 4, 2026
npmai-sdk-დამხმარეები: 1.1.1Jun 4, 2026
npmai-sdk-დამხმარეები: 1.3.0Jun 4, 2026
npmai-sdk-დამხმარეები: 1.4.0Jun 4, 2026
npmai-sdk-დამხმარეები: 1.4.2Jun 4, 2026
npm@achuthvp/postinstall-poc:1.0.3Jun 4, 2026
npmმგრძნობელობა: 2.5.0Jun 5, 2026
npmმგრძნობელობა: 2.5.1Jun 5, 2026
npmმგრძნობელობა: 2.5.2Jun 5, 2026
npmმგრძნობელობა: 2.5.3Jun 5, 2026
npmმგრძნობელობა: 2.5.4Jun 5, 2026
npmმგრძნობელობა: 2.5.5Jun 5, 2026
npmმგრძნობელობა: 2.5.13Jun 5, 2026
npmმგრძნობელობა: 2.5.14Jun 5, 2026
npmმგრძნობელობა: 2.5.15Jun 5, 2026
npmმგრძნობელობა: 2.5.33Jun 5, 2026
npmმგრძნობელობა: 2.5.34Jun 5, 2026
npmმგრძნობელობა: 2.5.35Jun 5, 2026
npmმგრძნობელობა: 2.5.36Jun 5, 2026
npmმგრძნობელობა: 2.5.37Jun 5, 2026
npmმგრძნობელობა: 2.5.38Jun 5, 2026
npmმგრძნობელობა: 2.5.58Jun 5, 2026
npmმგრძნობელობა: 2.5.59Jun 5, 2026
npmმგრძნობელობა: 2.5.60Jun 5, 2026
npmმგრძნობელობა: 2.5.62Jun 5, 2026
npmმგრძნობელობა: 2.5.63Jun 5, 2026
npmმგრძნობელობა: 2.5.64Jun 5, 2026
npmმგრძნობელობა: 2.5.65Jun 5, 2026
npmმგრძნობელობა: 2.5.66Jun 5, 2026
npmმგრძნობელობა: 2.5.69Jun 5, 2026


დაიცავით თქვენი ღია კოდის დამოკიდებულებები დაუცველობისა და მავნე კოდისგან

არ მისცეთ მავნე პაკეტებს თქვენამდე მოღწევის უფლება pipelines. Xygeni-ის მავნე პროგრამების ადრეული გამოვლენა თქვენს გუნდს აძლევს რეალურ დროში ხილვადობას ყველაზე მნიშვნელოვანი საფრთხეების შესახებ და აფიქსირებს მავნე დამოკიდებულებებს მანამ, სანამ ისინი თქვენს პროგრამულ უზრუნველყოფას შეეხებიან.

როგორც ამ კვირის დაიჯესტიდან ირკვევა, მავნე პაკეტების კამპანიების მოცულობა და დახვეწილობა არ ნელდება. კოორდინირებული ვერსიების დატბორვა, გადახდის მოდულის იმიტაცია და პაკეტების შიდა სახელწოდებების გამოყენება მხოლოდ რამდენიმე ტაქტიკაა, რომელსაც თავდამსხმელები იყენებენ გვერდის ავლისთვის. standard თავდაცვა. ამ საფრთხეებთან გამკლავება პერიოდულ აუდიტზე მეტს მოითხოვს, ის მოითხოვს უწყვეტ მონიტორინგს ყველა რეესტრში, რომელზეც თქვენი გუნდები არიან დამოკიდებულნი.

ქსიგენი Open Source Security გადაწყვეტა სკანირებს და ბლოკავს მავნე პაკეტებს გამოქვეყნებისთანავე, npm-ში, PyPI-ში და სხვა სისტემებში. კონტექსტუალურად პრიორიტეტული დაუცველობების მინიჭებით, რომლებიც რეალურ სამყაროში ყველაზე დიდ რისკს წარმოადგენენ (და თქვენი DevSecOps გუნდებისთვის გამოსწორების გზის გამარტივებით), Xygeni დაგეხმარებათ შეინარჩუნოთ პროგრამული უზრუნველყოფის უსაფრთხო და საიმედო მიწოდება განვითარების შენელების გარეშე.

sca-tools-software-composition-analysis-tools
თქვენი პროგრამული უზრუნველყოფის რისკების პრიორიტეტიზაცია, გამოსწორება და დაცვა
მიიღეთ თქვენი უფასო ანგარიში.
საკრედიტო ბარათი არ არის საჭირო.

უზრუნველყავით თქვენი პროგრამული უზრუნველყოფის შემუშავება და მიწოდება

Xygeni Product Suite-თან ერთად