Bal all Woch, eis Malware-Detektiounssystemer scannen Dausende vun neien an aktualiséierte Paketen iwwer ëffentlech Registere wéi npm a PyPI. Dës Woch war ganz aktiv.
Mir hunn confirméiert 198 béiswëlleg Paketen, haaptsächlech iwwer npm, mat zousätzleche Fäll a PyPI, OpenVSX, Composer, a VS Code Extensiounen. E puer sinn a koordinéierte Cluster opgetrueden, mat widderhollte béiswëllege Verëffentlechungen, déi ënner de selwechten Nimm oder iwwer enk verwandte Pakfamilljen publizéiert goufen. E besonnesche Fall war de sensivity Package, deen npm mat iwwer 60 Versiounen am 2.5.x Beräich iwwerflut huet. Aner bemierkenswäert Cluster waren ënner anerem ai-sdk-helpers (8 Versiounen, déi KI-Entwéckler zielen), @antoncallahan/aws-user-helper (7 Versiounen, déi sech als AWS-Utility ausginn), @apple-pay-trust an @google-pay-trust Famillen (déi Bezuelmoduler imitéieren), @frengki0707/google-cloud-clone (5 Versiounen, déi Google Cloud imitéieren), an cms-storehub, cms-helpgit, an cms-github (zielt op CMS aus) pipelines). Vill Paketen hunn Bezuelungs- a Bezuelmoduler imitéiert, enterprise an intern Webpakete, Analyseklienten, UI-Fundamenter, Entwéckler-Utilityen, Komponentenexplorer, Cloud- a Google-thematesch Pakete, an aner Moduler, déi a modernen Entwécklungsworkflows dacks vertraut ginn.
Dëst waren keng isoléiert Anomalien. Wat dës Woch opgefall ass, war d'Ausmooss vun der widderhollter Verëffentlechung iwwer déiselwecht Pakfamilljen, d'Wiederverwendung vun Nimmmusteren, an d'Aart a Weis wéi béiswëlleg Pakete verstoppt goufen, fir wéi legitim Ofhängegkeeten an der realer Softwareliwwerung ausgesinn ze loossen. pipelines.
Dëse wöchentleche Snapshot ass Deel vun eisem lafende Malicious Code Digest, wou mir nei Bedrohungen validéieren an ëmsetzbar Informatiounen ubidden, fir DevSecOps-Teams ze hëllefen, hir ... ze schützen. pipelines ier Schued entsteet.
Loosst eis opbriechen, wat mir dës Woch fonnt hunn a firwat et wichteg ass.
| Ecosystem | Pak | Datum |
|---|---|---|
| npm | @cloudplatform-single-spa/administratioun:99.99.100 | Mee 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Mee 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Mee 30, 2026 |
| npm | @einfach-Entrée/Landungsrouten:99.9.5 | Mee 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | Mee 30, 2026 |
| npm | @easy-entry/routes:99.9.5 | Mee 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Mee 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Mee 30, 2026 |
| vscode | xampp-Manager:5.1.3 | Mee 30, 2026 |
| npm | @chat-Schabloun/Auth:1.0.0 | Mee 31, 2026 |
| npm | json-op-simple-graphql-schema:1.0.0 | Jun 1, 2026 |
| npm | @gs-select/Spuer-Client-Applikatioun:99.0.0 | Jun 1, 2026 |
| npm | nemo-Reporter:1.8.2 | Jun 1, 2026 |
| npm | cms-github:4.2.4 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.6 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.8 | Jun 1, 2026 |
| npm | cms-storehub:1.3.4 | Jun 1, 2026 |
| npm | cms-storehub:1.3.5 | Jun 1, 2026 |
| npm | cms-storehub:1.3.6 | Jun 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Jun 1, 2026 |
| npm | Retail-Location-Strategie-Frontend: 1.1.1 | Jun 1, 2026 |
| npm | Retail-Location-Strategie-Frontend: 1.1.2 | Jun 1, 2026 |
| npm | conversa-sdk:2.0.2 | Jun 1, 2026 |
| npm | veltrix:9.0.0 | Jun 1, 2026 |
| npm | veltrix:9.0.1 | Jun 1, 2026 |
| npm | jingmeideshishi: 1.0.4 | Jun 1, 2026 |
| npm | jingmeideshishi: 1.0.5 | Jun 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Jun 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Jun 1, 2026 |
| npm | @ownit/core:99.0.0 | Jun 1, 2026 |
| npm | Patientendokumenter: 75.0.0 | Jun 1, 2026 |
| npm | @antoncallahan/aws-Benotzerhëllefer:6767.67.69 | Jun 1, 2026 |
| npm | @antoncallahan/aws-Benotzerhëllefer:6767.67.68 | Jun 1, 2026 |
| npm | @antoncallahan/aws-Benotzerhëllefer:6767.67.82 | Jun 1, 2026 |
| npm | @antoncallahan/aws-Benotzerhëllefer:6767.67.80 | Jun 1, 2026 |
| npm | @antoncallahan/aws-Benotzerhëllefer:6767.67.81 | Jun 1, 2026 |
| npm | @antoncallahan/aws-Benotzerhëllefer:6767.67.83 | Jun 1, 2026 |
| npm | @antoncallahan/aws-Benotzerhëllefer:6767.67.3 | Jun 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Jun 1, 2026 |
| npm | @emcd-vue/b2b-bezuelungsformular:5.7.4 | Jun 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.8 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.12 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.16 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.17 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.18 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.19 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.20 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.21 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.22 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.23 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.24 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.25 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.26 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.27 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.28 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.29 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.30 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.31 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.32 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.41 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.42 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.43 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.44 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.45 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.46 | Jun 2, 2026 |
| npm | meoo-ui-Hëllefer: 1.0.1 | Jun 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Jun 2, 2026 |
| npm | eyevox:9.0.1 | Jun 2, 2026 |
| npm | Empfindlechkeet: 2.5.53 | Jun 3, 2026 |
| npm | Empfindlechkeet: 2.5.54 | Jun 3, 2026 |
| npm | Empfindlechkeet: 2.5.55 | Jun 3, 2026 |
| npm | Empfindlechkeet: 2.5.56 | Jun 3, 2026 |
| npm | Empfindlechkeet: 2.5.57 | Jun 3, 2026 |
| npm | Empfindlechkeet: 2.5.61 | Jun 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Jun 4, 2026 |
| npm | Spendenaktiounsservice: 1.0.0 | Jun 4, 2026 |
| npm | Empfindlechkeet: 2.5.67 | Jun 4, 2026 |
| npm | Empfindlechkeet: 2.5.68 | Jun 4, 2026 |
| npm | vg-Interaktiounsmodell: 40.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.3 | Jun 4, 2026 |
| npm | internallib_v346:1.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.9 | Jun 4, 2026 |
| npm | ai-sdk-Hëllefer: 0.2.1 | Jun 4, 2026 |
| npm | ai-sdk-Hëllefer: 0.3.0 | Jun 4, 2026 |
| npm | ai-sdk-Hëllefer: 0.3.1 | Jun 4, 2026 |
| npm | ai-sdk-Hëllefer: 1.1.0 | Jun 4, 2026 |
| npm | ai-sdk-Hëllefer: 1.1.1 | Jun 4, 2026 |
| npm | ai-sdk-Hëllefer: 1.3.0 | Jun 4, 2026 |
| npm | ai-sdk-Hëllefer: 1.4.0 | Jun 4, 2026 |
| npm | ai-sdk-Hëllefer: 1.4.2 | Jun 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Jun 4, 2026 |
| npm | Empfindlechkeet: 2.5.0 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.1 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.2 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.3 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.4 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.5 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.13 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.14 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.15 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.33 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.34 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.35 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.36 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.37 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.38 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.58 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.59 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.60 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.62 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.63 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.64 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.65 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.66 | Jun 5, 2026 |
| npm | Empfindlechkeet: 2.5.69 | Jun 5, 2026 |
Séchert Är Open-Source-Ofhängegkeeten géint Schwachstelle a béiswëlleg Code
Loosst keng béiswëlleg Paketen op Iech zoukommen pipelines. Xygeni Fréizäiteg Malware Detektioun gëtt Ärem Team Echtzäit-Iwwersiicht iwwer déi wichtegst Bedrohungen, andeems et schiedlech Ofhängegkeeten erkennt, ier se Är Software beréieren.
Wéi den Digest vun dëser Woch kloer mécht, verlangsamt sech d'Zuel an d'Sophistikatioun vu béiswëllege Pakkampagnen net. Koordinéiert Versiounsflut, Imitatioun vu Bezuelmoduler an intern kléngend Paknimm sinn nëmmen e puer vun den Taktiken, déi Attacker benotzen, fir sech ze duercherneen ze bréngen. standard Verteidegung. Fir dëse Bedrohungen e Schrëtt viraus ze sinn, brauch et méi wéi nëmmen periodesch Auditen, et erfuerdert eng kontinuéierlech Iwwerwaachung vun all de Registeren, op déi Är Équipen ugewise sinn.
Xygeni's Open Source Security D'Léisung scannt a blockéiert schiedlech Paketen um Zäitpunkt vun der Verëffentlechung, iwwer npm, PyPI a méi. Andeems Xygeni déi Schwachstelle kontextuell prioritär behandelt, déi de gréisste Risiko an der realer Welt duerstellen (an de Sanéierungswee fir Är DevSecOps-Teams vereinfacht), hëlleft Iech d'Liwwerung vun enger sécherer a zouverléisseger Software ouni d'Entwécklung ze verlangsamen.




