Әр апта сайын дерлік, біздің зиянды бағдарламаларды анықтау жүйелеріміз npm және PyPI сияқты қоғамдық тізілімдердегі мыңдаған жаңа және жаңартылған пакеттерді сканерлейді. Бұл апта өте белсенді болды.
Біз растадық 198 зиянды пакет, негізінен npm арқылы, PyPI, OpenVSX, Composer және VS Code кеңейтімдерінде қосымша жағдайлармен. Бірнешеуі үйлестірілген кластерлерде пайда болды, бірнеше рет зиянды шығарылымдар бірдей атаулармен немесе тығыз байланысты пакеттік отбасыларда жарияланды. Ерекше жағдай болды sensivity пакет, ол npm-ді 2.5.x диапазонында 60-тан астам нұсқалы шығарылымдармен толтырды. Басқа да маңызды кластерлер кірді ai-sdk-helpers (Жасанды интеллект әзірлеушілеріне арналған 8 нұсқа), @antoncallahan/aws-user-helper (AWS утилитасын имитациялайтын 7 нұсқа), @apple-pay-trust және @google-pay-trust отбасылар (төлемді тексеру модульдерін имитациялайды), @frengki0707/google-cloud-clone (Google Cloud-ты жалған жасаған 5 нұсқа) және cms-storehub, cms-helpgit, және cms-github (CMS нысанаға алу pipelines). Көптеген пакеттер төлем және касса модульдерін имитациялады, enterprise және ішкі веб-пакеттері, аналитикалық клиенттері, UI негіздері, әзірлеуші утилиталары, компоненттік зерттеушілер, бұлт және Google тақырыбындағы пакеттер және заманауи әзірлеу жұмыс процестерінде кеңінен сенімді басқа модульдер.
Бұл оқшауланған ауытқулар емес еді. Осы аптада ерекше назар аударған нәрсе - сол пакеттік отбасылардағы қайталанатын жарияланымдардың ауқымы, атау үлгілерін қайта пайдалану және зиянды пакеттердің нақты бағдарламалық жасақтама жеткізіліміндегі заңды тәуелділіктер сияқты жасырынуы болды. pipelines.
Бұл апта сайынғы қысқаша сипаттама біздің жалғасып жатқан зиянды код дайджестіміздің бөлігі болып табылады, онда біз жаңа қауіптерді тексереміз және DevSecOps командаларына өз жүйелерін қорғауға көмектесу үшін іс жүзінде қолданылатын ақпарат береміз pipelineзақымдану пайда болғанға дейін s.
Осы аптада не тапқанымызды және оның неліктен маңызды екенін талдап көрейік.
| экожүйе | пакет | дата |
|---|---|---|
| npm | @cloudplatform-single-spa/administration: 99.99.100 | Мамыр 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Мамыр 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Мамыр 30, 2026 |
| npm | @easy-entry/қону-маршруттары: 99.9.5 | Мамыр 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | Мамыр 30, 2026 |
| npm | @easy-entry/маршруттар: 99.9.5 | Мамыр 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Мамыр 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Мамыр 30, 2026 |
| vscode | xampp-менеджері: 5.1.3 | Мамыр 30, 2026 |
| npm | @chat-үлгі/авторизация:1.0.0 | Мамыр 31, 2026 |
| npm | json-нан-қарапайым-графтық-схемаға:1.0.0 | Jun 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Jun 1, 2026 |
| npm | немо-репортер: 1.8.2 | Jun 1, 2026 |
| npm | cms-github:4.2.4 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.6 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.8 | Jun 1, 2026 |
| npm | cms-storehub: 1.3.4 | Jun 1, 2026 |
| npm | cms-storehub: 1.3.5 | Jun 1, 2026 |
| npm | cms-storehub: 1.3.6 | Jun 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Jun 1, 2026 |
| npm | бөлшек сауда орны-стратегия-фронтенд: 1.1.1 | Jun 1, 2026 |
| npm | бөлшек сауда орны-стратегия-фронтенд: 1.1.2 | Jun 1, 2026 |
| npm | conversa-sdk:2.0.2 | Jun 1, 2026 |
| npm | вельтрикс: 9.0.0 | Jun 1, 2026 |
| npm | вельтрикс: 9.0.1 | Jun 1, 2026 |
| npm | jingmeideshishi: 1.0.4 | Jun 1, 2026 |
| npm | jingmeideshishi: 1.0.5 | Jun 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Jun 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Jun 1, 2026 |
| npm | @ownit/core:99.0.0 | Jun 1, 2026 |
| npm | пациенттің құжаттары: 75.0.0 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Jun 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Jun 1, 2026 |
| npm | @emcd-vue/b2b-төлем-формасы: 5.7.4 | Jun 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.8 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.12 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.16 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.17 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.18 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.19 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.20 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.21 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.22 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.23 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.24 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.25 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.26 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.27 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.28 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.29 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.30 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.31 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.32 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.41 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.42 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.43 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.44 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.45 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.46 | Jun 2, 2026 |
| npm | meoo-ui-көмекшілері:1.0.1 | Jun 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Jun 2, 2026 |
| npm | yevox:9.0.1 | Jun 2, 2026 |
| npm | сезімталдық: 2.5.53 | Jun 3, 2026 |
| npm | сезімталдық: 2.5.54 | Jun 3, 2026 |
| npm | сезімталдық: 2.5.55 | Jun 3, 2026 |
| npm | сезімталдық: 2.5.56 | Jun 3, 2026 |
| npm | сезімталдық: 2.5.57 | Jun 3, 2026 |
| npm | сезімталдық: 2.5.61 | Jun 3, 2026 |
| npm | @sentry-browser-sdk/профильдеу-түйіні:1.0.1 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/профильдеу-түйіні:1.0.2 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/профильдеу-түйіні:1.0.5 | Jun 4, 2026 |
| npm | қайырымдылық қызметі: 1.0.0 | Jun 4, 2026 |
| npm | сезімталдық: 2.5.67 | Jun 4, 2026 |
| npm | сезімталдық: 2.5.68 | Jun 4, 2026 |
| npm | vg-өзара әрекеттесу моделі: 40.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.3 | Jun 4, 2026 |
| npm | internallib_v346:1.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.9 | Jun 4, 2026 |
| npm | ai-sdk-көмекшілері: 0.2.1 | Jun 4, 2026 |
| npm | ai-sdk-көмекшілері: 0.3.0 | Jun 4, 2026 |
| npm | ai-sdk-көмекшілері: 0.3.1 | Jun 4, 2026 |
| npm | ai-sdk-көмекшілері: 1.1.0 | Jun 4, 2026 |
| npm | ai-sdk-көмекшілері: 1.1.1 | Jun 4, 2026 |
| npm | ai-sdk-көмекшілері: 1.3.0 | Jun 4, 2026 |
| npm | ai-sdk-көмекшілері: 1.4.0 | Jun 4, 2026 |
| npm | ai-sdk-көмекшілері: 1.4.2 | Jun 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Jun 4, 2026 |
| npm | сезімталдық: 2.5.0 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.1 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.2 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.3 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.4 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.5 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.13 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.14 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.15 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.33 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.34 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.35 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.36 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.37 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.38 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.58 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.59 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.60 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.62 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.63 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.64 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.65 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.66 | Jun 5, 2026 |
| npm | сезімталдық: 2.5.69 | Jun 5, 2026 |
Ашық бастапқы кодқа тәуелділіктеріңізді осалдықтардан және зиянды кодтан қорғаңыз
Зиянды пакеттердің сізге жетуіне жол бермеңіз pipelines. Xygeni зиянды бағдарламаларын ерте анықтау зиянды тәуелділіктерді олар сіздің бағдарламалық жасақтамаңызға тигенге дейін анықтап, командаңызға ең маңызды қауіптерді нақты уақыт режимінде көруге мүмкіндік береді.
Осы аптадағы дайджест анық көрсеткендей, зиянды пакеттік науқандардың көлемі мен күрделілігі бәсеңдемейді. Үйлестірілген нұсқалардың толып кетуі, төлем модулінің еліктеуі және ішкі дыбысталған пакет атаулары - шабуылдаушылар пайдаланып жатқан тактикалардың бір бөлігі ғана. standard қорғаныс. Бұл қауіптерден озып кету мерзімді аудиттерден де көп нәрсені талап етеді, бұл сіздің командаларыңыз тәуелді әрбір тізілімде үздіксіз бақылауды талап етеді.
Xygeni's Open Source Security шешім зиянды пакеттерді жариялау кезінде, npm, PyPI және одан тыс жерлерде сканерлейді және блоктайды. Ең үлкен нақты әлемдегі қауіп төндіретін осалдықтарды контекстік тұрғыдан басымдыққа алу арқылы (және DevSecOps командаларыңыз үшін қалпына келтіру жолын оңтайландыру арқылы) Xygeni сізге әзірлеуді баяулатпай, бағдарламалық жасақтаманың қауіпсіз және сенімді жеткізілімін қамтамасыз етуге көмектеседі.




