거의 매주저희 악성코드 탐지 시스템은 npm과 PyPI 같은 공개 레지스트리에서 수천 개의 신규 및 업데이트된 패키지를 검사합니다. 이번 주는 특히 활동이 활발했습니다.
우리는 확인했습니다 198개의 악성 패키지주로 npm을 중심으로 발생했으며, PyPI, OpenVSX, Composer 및 VS Code 확장 프로그램에서도 추가 사례가 발견되었습니다. 여러 사례가 조직적으로 발생했으며, 동일한 이름이나 밀접하게 관련된 패키지 계열에서 악성 릴리스가 반복적으로 게시되었습니다. 특히 주목할 만한 사례는 다음과 같습니다. sensivity 해당 패키지는 2.5.x 범위에 걸쳐 60개 이상의 버전별 릴리스를 npm에 대량으로 배포했습니다. 그 외 주목할 만한 클러스터는 다음과 같습니다. ai-sdk-helpers (AI 개발자를 대상으로 하는 8가지 버전) @antoncallahan/aws-user-helper (AWS 유틸리티를 사칭하는 7가지 버전) @apple-pay-trust @google-pay-trust 가족 구성원(결제 모듈을 모방함) @frengki0707/google-cloud-clone (구글 클라우드를 사칭하는 5가지 버전) cms-storehub, cms-helpgit예산 및 cms-github (CMS를 대상으로 함) pipeline(s). 많은 패키지가 결제 및 체크아웃 모듈을 모방했습니다. enterprise 또한 내부 웹 패키지, 분석 클라이언트, UI 기반, 개발자 유틸리티, 구성 요소 탐색기, 클라우드 및 Google 테마 패키지, 그리고 최신 개발 워크플로에서 일반적으로 신뢰받는 기타 모듈도 포함됩니다.
이러한 현상은 개별적인 예외적인 사례가 아니었습니다. 이번 주에 특히 눈에 띄었던 점은 동일한 패키지 제품군에 걸쳐 반복적으로 배포된 규모, 명명 패턴의 재사용, 그리고 악성 패키지가 실제 소프트웨어 배포 내에서 합법적인 종속성처럼 위장한 방식이었습니다. pipelines.
이번 주간 스냅샷은 악성 코드 다이제스트의 일환으로, 새로운 위협을 검증하고 DevSecOps 팀이 코드를 보호하는 데 도움이 되는 실질적인 정보를 제공합니다. pipeline손상이 발생하기 전.
이번 주에 우리가 발견한 내용과 그 중요성을 자세히 살펴보겠습니다.
| 생태계 | 묶음 | 날짜 |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | 2026 년 5 월 30 일 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 2026 년 5 월 30 일 |
| npm | @maximvs1538/os-npm:99.0.0 | 2026 년 5 월 30 일 |
| npm | @easy-entry/landing-routes:99.9.5 | 2026 년 5 월 30 일 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | 2026 년 5 월 30 일 |
| npm | @easy-entry/routes:99.9.5 | 2026 년 5 월 30 일 |
| npm | @t-in-one/form_product_token:5.7.1 | 2026 년 5 월 30 일 |
| npm | @capibar.chat/ui-kit:99.5.7 | 2026 년 5 월 30 일 |
| vscode | xampp-manager:5.1.3 | 2026 년 5 월 30 일 |
| npm | @chat-template/auth:1.0.0 | 2026 년 5 월 31 일 |
| npm | json-to-simple-graphql-schema:1.0.0 | 2026년 1월 1일 |
| npm | @gs-select/savings-client-application:99.0.0 | 2026년 1월 1일 |
| npm | 네모 리포터:1.8.2 | 2026년 1월 1일 |
| npm | cms-github:4.2.4 | 2026년 1월 1일 |
| npm | cms-helpgit:4.2.6 | 2026년 1월 1일 |
| npm | cms-helpgit:4.2.8 | 2026년 1월 1일 |
| npm | cms-storehub:1.3.4 | 2026년 1월 1일 |
| npm | cms-storehub:1.3.5 | 2026년 1월 1일 |
| npm | cms-storehub:1.3.6 | 2026년 1월 1일 |
| 피피 | simtooreal-cli:0.3.0 | 2026년 1월 1일 |
| npm | 소매점 위치 전략 프런트엔드:1.1.1 | 2026년 1월 1일 |
| npm | 소매점 위치 전략 프런트엔드:1.1.2 | 2026년 1월 1일 |
| npm | conversa-sdk:2.0.2 | 2026년 1월 1일 |
| npm | 벨트릭스:9.0.0 | 2026년 1월 1일 |
| npm | 벨트릭스:9.0.1 | 2026년 1월 1일 |
| npm | 징메이데시시:1.0.4 | 2026년 1월 1일 |
| npm | 징메이데시시:1.0.5 | 2026년 1월 1일 |
| npm | @tse-digital/core:99.0.0 | 2026년 1월 1일 |
| npm | @telenor-se/core:99.0.0 | 2026년 1월 1일 |
| npm | @ownit/core:99.0.0 | 2026년 1월 1일 |
| npm | 환자 문서:75.0.0 | 2026년 1월 1일 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | 2026년 1월 1일 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | 2026년 1월 1일 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | 2026년 1월 1일 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | 2026년 1월 1일 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | 2026년 1월 1일 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | 2026년 1월 1일 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | 2026년 1월 1일 |
| npm | @emcd-vue/auth:6.4.9 | 2026년 1월 1일 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | 2026년 1월 1일 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | 2026년 1월 2일 |
| npm | 민감도: 2.5.8 | 2026년 1월 2일 |
| npm | 민감도: 2.5.12 | 2026년 1월 2일 |
| npm | 민감도: 2.5.16 | 2026년 1월 2일 |
| npm | 민감도: 2.5.17 | 2026년 1월 2일 |
| npm | 민감도: 2.5.18 | 2026년 1월 2일 |
| npm | 민감도: 2.5.19 | 2026년 1월 2일 |
| npm | 민감도: 2.5.20 | 2026년 1월 2일 |
| npm | 민감도: 2.5.21 | 2026년 1월 2일 |
| npm | 민감도: 2.5.22 | 2026년 1월 2일 |
| npm | 민감도: 2.5.23 | 2026년 1월 2일 |
| npm | 민감도: 2.5.24 | 2026년 1월 2일 |
| npm | 민감도: 2.5.25 | 2026년 1월 2일 |
| npm | 민감도: 2.5.26 | 2026년 1월 2일 |
| npm | 민감도: 2.5.27 | 2026년 1월 2일 |
| npm | 민감도: 2.5.28 | 2026년 1월 2일 |
| npm | 민감도: 2.5.29 | 2026년 1월 2일 |
| npm | 민감도: 2.5.30 | 2026년 1월 2일 |
| npm | 민감도: 2.5.31 | 2026년 1월 2일 |
| npm | 민감도: 2.5.32 | 2026년 1월 2일 |
| npm | 민감도: 2.5.41 | 2026년 1월 2일 |
| npm | 민감도: 2.5.42 | 2026년 1월 2일 |
| npm | 민감도: 2.5.43 | 2026년 1월 2일 |
| npm | 민감도: 2.5.44 | 2026년 1월 2일 |
| npm | 민감도: 2.5.45 | 2026년 1월 2일 |
| npm | 민감도: 2.5.46 | 2026년 1월 2일 |
| npm | meoo-ui-helpers:1.0.1 | 2026년 1월 2일 |
| npm | @langgraphjs/toolkit:1.2.10 | 2026년 1월 2일 |
| npm | 아이복스:9.0.1 | 2026년 1월 2일 |
| npm | 민감도: 2.5.53 | 2026년 1월 3일 |
| npm | 민감도: 2.5.54 | 2026년 1월 3일 |
| npm | 민감도: 2.5.55 | 2026년 1월 3일 |
| npm | 민감도: 2.5.56 | 2026년 1월 3일 |
| npm | 민감도: 2.5.57 | 2026년 1월 3일 |
| npm | 민감도: 2.5.61 | 2026년 1월 3일 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | 2026년 1월 4일 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | 2026년 1월 4일 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | 2026년 1월 4일 |
| npm | fundraiserserv:1.0.0 | 2026년 1월 4일 |
| npm | 민감도: 2.5.67 | 2026년 1월 4일 |
| npm | 민감도: 2.5.68 | 2026년 1월 4일 |
| npm | vg-상호작용 모델:40.0.5 | 2026년 1월 4일 |
| npm | internallib_v346:1.0.3 | 2026년 1월 4일 |
| npm | internallib_v346:1.0.5 | 2026년 1월 4일 |
| npm | internallib_v346:1.0.9 | 2026년 1월 4일 |
| npm | ai-sdk-helpers:0.2.1 | 2026년 1월 4일 |
| npm | ai-sdk-helpers:0.3.0 | 2026년 1월 4일 |
| npm | ai-sdk-helpers:0.3.1 | 2026년 1월 4일 |
| npm | ai-sdk-helpers:1.1.0 | 2026년 1월 4일 |
| npm | ai-sdk-helpers:1.1.1 | 2026년 1월 4일 |
| npm | ai-sdk-helpers:1.3.0 | 2026년 1월 4일 |
| npm | ai-sdk-helpers:1.4.0 | 2026년 1월 4일 |
| npm | ai-sdk-helpers:1.4.2 | 2026년 1월 4일 |
| npm | @achuthvp/postinstall-poc:1.0.3 | 2026년 1월 4일 |
| npm | 민감도: 2.5.0 | 2026년 1월 5일 |
| npm | 민감도: 2.5.1 | 2026년 1월 5일 |
| npm | 민감도: 2.5.2 | 2026년 1월 5일 |
| npm | 민감도: 2.5.3 | 2026년 1월 5일 |
| npm | 민감도: 2.5.4 | 2026년 1월 5일 |
| npm | 민감도: 2.5.5 | 2026년 1월 5일 |
| npm | 민감도: 2.5.13 | 2026년 1월 5일 |
| npm | 민감도: 2.5.14 | 2026년 1월 5일 |
| npm | 민감도: 2.5.15 | 2026년 1월 5일 |
| npm | 민감도: 2.5.33 | 2026년 1월 5일 |
| npm | 민감도: 2.5.34 | 2026년 1월 5일 |
| npm | 민감도: 2.5.35 | 2026년 1월 5일 |
| npm | 민감도: 2.5.36 | 2026년 1월 5일 |
| npm | 민감도: 2.5.37 | 2026년 1월 5일 |
| npm | 민감도: 2.5.38 | 2026년 1월 5일 |
| npm | 민감도: 2.5.58 | 2026년 1월 5일 |
| npm | 민감도: 2.5.59 | 2026년 1월 5일 |
| npm | 민감도: 2.5.60 | 2026년 1월 5일 |
| npm | 민감도: 2.5.62 | 2026년 1월 5일 |
| npm | 민감도: 2.5.63 | 2026년 1월 5일 |
| npm | 민감도: 2.5.64 | 2026년 1월 5일 |
| npm | 민감도: 2.5.65 | 2026년 1월 5일 |
| npm | 민감도: 2.5.66 | 2026년 1월 5일 |
| npm | 민감도: 2.5.69 | 2026년 1월 5일 |
취약점 및 악성 코드로부터 오픈 소스 종속성을 보호하세요
악성 패키지가 귀하의 기기에 도달하지 않도록 하세요. pipelines. Xygeni 조기 악성코드 탐지 이 도구는 팀에게 가장 중요한 위협에 대한 실시간 가시성을 제공하여 유해한 종속성이 소프트웨어에 영향을 미치기 전에 이를 감지합니다.
이번 주 요약에서 분명히 드러나듯이, 악성 패키지 공격의 규모와 수법은 줄어들 기미를 보이지 않고 있습니다. 조직적인 버전 배포, 결제 모듈 사칭, 내부 기관처럼 들리는 패키지 이름 사용 등은 공격자들이 시스템을 우회하기 위해 사용하는 수법 중 일부에 불과합니다. standard 방어 체계를 강화해야 합니다. 이러한 위협에 앞서 나가려면 주기적인 감사만으로는 부족하며, 팀이 의존하는 모든 레지스트리에 대한 지속적인 모니터링이 필요합니다.
자이제니스 Open Source Security Xygeni 솔루션은 npm, PyPI 및 기타 플랫폼에서 배포 시점에 유해한 패키지를 검사하고 차단합니다. 실제 환경에서 가장 큰 위험을 초래하는 취약점을 상황에 맞게 우선순위를 정하고 DevSecOps 팀의 해결 경로를 간소화함으로써, Xygeni는 개발 속도를 늦추지 않고 안전하고 안정적인 소프트웨어 배포를 유지할 수 있도록 지원합니다.




