Nêzîkî her hefte, pergalên me yên tespîtkirina malware bi hezaran pakêtên nû û nûjenkirî li seranserê qeydên giştî yên wekî npm û PyPI dişopînin. Ev hefte pir çalak bû.
Me piştrast kir 198 pakêtên zirardar, bi giranî li seranserê npm, bi rewşên zêde di dirêjkirinên PyPI, OpenVSX, Composer, û VS Code de. Çend ji wan di komên hevrêzkirî de xuya bûn, bi berdanên xerabkar ên dubare di bin heman navan de an jî li seranserê malbatên pakêtên nêzîk-hevgirtî hatine weşandin. Dozek berbiçav bû sensivity pakêt, ku npm bi zêdetirî 60 guhertoyên li seranserê rêza 2.5.x tijî kir. Komên din ên girîng jî di nav de bûn ai-sdk-helpers (8 guhertoyên ku pêşdebirên AI-ê hedef digirin), @antoncallahan/aws-user-helper (7 guhertoyên ku wekî amûrek AWS-ê tevdigerin), @apple-pay-trust û @google-pay-trust malbat (modulên dravdana dravdanê yên teqlîdkirî), @frengki0707/google-cloud-clone (5 guhertoyên sextekirina Google Cloud), û cms-storehub, cms-helpgit, û cms-github (armanckirina CMS pipelines). Gelek pakêt modulên dravdan û derxistinê teqlîd dikirin, enterprise û pakêtên webê yên navxweyî, xerîdarên analîtîk, bingehên UI, amûrên pêşdebiran, lêgerînerên pêkhateyan, pakêtên bi mijara ewr û Google, û modulên din ên ku bi gelemperî di herikên xebatê yên pêşkeftina nûjen de pêbawer in.
Ev ne anomalîyên îzolekirî bûn. Tiştê ku vê hefteyê derket pêş, pîvana weşana dubarekirî li ser heman malbatên pakêtan, ji nû ve bikaranîna şablonên navkirinê, û awayê ku pakêtên xerabkar hatin veşartin da ku wekî girêdayîbûnên rewa di nav radestkirina nermalava rastîn de xuya bikin. pipelines.
Ev wênekirina heftane beşek ji Daweta Koda Xerabkar a me ya berdewam e, ku em gefên nû piştrast dikin û îstîxbarata çalak peyda dikin da ku alîkariya tîmên DevSecOps bikin ku xwe biparêzin. pipelines berî ku zirarê çêbibe.
Werin em vê hefteyê çi dîtin û çima ew girîng in, parve bikin.
| Ecosystem | Pakêt | Date |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | Bila 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Bila 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Bila 30, 2026 |
| npm | @hêsan-ketin/rêyên-daketinê:99.9.5 | Bila 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | Bila 30, 2026 |
| npm | @easy-entry/routes:99.9.5 | Bila 30, 2026 |
| npm | @t-di-yek/form_product_token:5.7.1 | Bila 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Bila 30, 2026 |
| vscode | rêveberê-xampp:5.1.3 | Bila 30, 2026 |
| npm | @şablona-chatê/auth:1.0.0 | Bila 31, 2026 |
| npm | json-bo-sade-graphql-schema:1.0.0 | Jun 1, 2026 |
| npm | @gs-select/serlêdana-xerîdar-savings:99.0.0 | Jun 1, 2026 |
| npm | nemo-nûçegihan: 1.8.2 | Jun 1, 2026 |
| npm | cms-github:4.2.4 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.6 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.8 | Jun 1, 2026 |
| npm | cms-storehub:1.3.4 | Jun 1, 2026 |
| npm | cms-storehub:1.3.5 | Jun 1, 2026 |
| npm | cms-storehub:1.3.6 | Jun 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Jun 1, 2026 |
| npm | stratejiya-cihê-firotanê-pêşîn:1.1.1 | Jun 1, 2026 |
| npm | stratejiya-cihê-firotanê-pêşîn:1.1.2 | Jun 1, 2026 |
| npm | conversa-sdk:2.0.2 | Jun 1, 2026 |
| npm | veltrix:9.0.0 | Jun 1, 2026 |
| npm | veltrix:9.0.1 | Jun 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Jun 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Jun 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Jun 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Jun 1, 2026 |
| npm | @ownit/core:99.0.0 | Jun 1, 2026 |
| npm | belgeyên nexweşan: 75.0.0 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Jun 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Jun 1, 2026 |
| npm | @emcd-vue/b2b-forma-pay:5.7.4 | Jun 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.8 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.12 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.16 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.17 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.18 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.19 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.20 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.21 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.22 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.23 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.24 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.25 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.26 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.27 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.28 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.29 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.30 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.31 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.32 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.41 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.42 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.43 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.44 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.45 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.46 | Jun 2, 2026 |
| npm | alîkarên-meoo-ui:1.0.1 | Jun 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Jun 2, 2026 |
| npm | eyevox:9.0.1 | Jun 2, 2026 |
| npm | hesasiyet: 2.5.53 | Jun 3, 2026 |
| npm | hesasiyet: 2.5.54 | Jun 3, 2026 |
| npm | hesasiyet: 2.5.55 | Jun 3, 2026 |
| npm | hesasiyet: 2.5.56 | Jun 3, 2026 |
| npm | hesasiyet: 2.5.57 | Jun 3, 2026 |
| npm | hesasiyet: 2.5.61 | Jun 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Jun 4, 2026 |
| npm | xizmeta berhevkirina pereyan: 1.0.0 | Jun 4, 2026 |
| npm | hesasiyet: 2.5.67 | Jun 4, 2026 |
| npm | hesasiyet: 2.5.68 | Jun 4, 2026 |
| npm | modela-têkiliya-vg:40.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.3 | Jun 4, 2026 |
| npm | internallib_v346:1.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.9 | Jun 4, 2026 |
| npm | alîkarên-ai-sdk:0.2.1 | Jun 4, 2026 |
| npm | alîkarên-ai-sdk:0.3.0 | Jun 4, 2026 |
| npm | alîkarên-ai-sdk:0.3.1 | Jun 4, 2026 |
| npm | alîkarên-ai-sdk:1.1.0 | Jun 4, 2026 |
| npm | alîkarên-ai-sdk:1.1.1 | Jun 4, 2026 |
| npm | alîkarên-ai-sdk:1.3.0 | Jun 4, 2026 |
| npm | alîkarên-ai-sdk:1.4.0 | Jun 4, 2026 |
| npm | alîkarên-ai-sdk:1.4.2 | Jun 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Jun 4, 2026 |
| npm | hesasiyet: 2.5.0 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.1 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.2 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.3 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.4 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.5 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.13 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.14 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.15 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.33 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.34 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.35 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.36 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.37 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.38 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.58 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.59 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.60 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.62 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.63 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.64 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.65 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.66 | Jun 5, 2026 |
| npm | hesasiyet: 2.5.69 | Jun 5, 2026 |
Girêdayîbûnên Çavkaniya Vekirî yên Xwe li dijî Qelsiyan û Kodên Xerabkar Biparêzin
Nehêlin pakêtên xerab bigihîjin destê we pipelines. Tesbîtkirina Zû ya Malware ya Xygeni dide tîmê we ku di demek rast de bibînin ka gefên herî girîng çi ne, û girêdayiyên zirardar berî ku ew dest bidin nermalava we digire.
Wekî ku kurteya vê hefteyê eşkere dike, qebare û sofîstîkebûna kampanyayên pakêtên zirardar hêdî nabe. Lehiya guhertoyên hevrêzkirî, teqlîdkirina modulên dravdanê, û navên pakêtên ku dengê wan navxweyî ye tenê çend ji taktîkên ku êrîşkar bikar tînin da ku ji wan dûr bikevin in. standard parastin. Ji bo ku hûn li hember van gefan bisekinin, ji venêrînên periyodîk bêtir hewce dike, ew çavdêriya domdar li seranserê her qeyda ku tîmên we pê ve girêdayî ne hewce dike.
Xygeni's Open Source Security çareserî pakêtên zirardar di xala weşanê de, li seranserê npm, PyPI, û ji wê pê ve dişopîne û asteng dike. Bi pêşanîdana qelsiyên ku xetera herî mezin a cîhana rastîn çêdikin (û rêça sererastkirinê ji bo tîmên DevSecOps-a we hêsan dike), Xygeni alîkariya we dike ku hûn radestkirina nermalavê ya ewle û pêbawer bêyî hêdîkirina pêşveçûnê biparêzin.




