Beveik kiekvieną savaitęMūsų kenkėjiškų programų aptikimo sistemos nuskaito tūkstančius naujų ir atnaujintų paketų viešuosiuose registruose, tokiuose kaip npm ir PyPI. Ši savaitė buvo labai aktyvi.
Mes patvirtinome 198 kenkėjiškų paketų, daugiausia npm, su papildomais atvejais PyPI, OpenVSX, Composer ir VS Code plėtiniuose. Keletas atvejų pasirodė koordinuotose grupėse, o kenkėjiškos versijos buvo paskelbtos tais pačiais pavadinimais arba glaudžiai susijusiose paketų šeimose. Išskirtinis atvejis buvo sensivity paketas, kuris užtvindė npm daugiau nei 60 versijų leidimų visoje 2.5.x versijoje. Kiti žymūs klasteriai buvo ai-sdk-helpers (8 versijos, skirtos dirbtinio intelekto kūrėjams), @antoncallahan/aws-user-helper (7 versijos, apsimetančios AWS įrankiu), @apple-pay-trust bei @google-pay-trust šeimos (mėgdžiojančios mokėjimo ir atsiskaitymo modulius), @frengki0707/google-cloud-clone (5 versijos, imituojančios „Google Cloud“) ir cms-storehub, cms-helpgitir cms-github (nukreipta į TVS) pipelines). Daugelyje paketų buvo imituojami mokėjimo ir atsiskaitymo moduliai, enterprise ir vidinius žiniatinklio paketus, analizės klientus, vartotojo sąsajos pagrindus, kūrėjų įrankius, komponentų naršykles, debesijos ir „Google“ tematikos paketus bei kitus modulius, kuriais dažniausiai pasitikima šiuolaikiniuose kūrimo darbo eigose.
Tai nebuvo pavieniai anomalijos. Šią savaitę į akis krito pakartotinio publikavimo tose pačiose paketų šeimose mastas, pavadinimų šablonų pakartotinis naudojimas ir tai, kaip kenkėjiški paketai buvo maskuojami taip, kad atrodytų kaip teisėtos priklausomybės realiame programinės įrangos tiekime. pipelines.
Ši savaitinė apžvalga yra mūsų nuolat vykdomo kenkėjiško kodo santraukos dalis, kurioje tikriname naujas grėsmes ir teikiame praktinę informaciją, padėsiančią „DevSecOps“ komandoms apsaugoti savo... pipelines prieš atsirandant žalai.
Aptarkime, ką atradome šią savaitę ir kodėl tai svarbu.
| ekosistema | Paketas | Data |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | Gegužės 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Gegužės 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Gegužės 30, 2026 |
| npm | @lengva-įvažiavimo-/nusileidimo-maršrutai:99.9.5 | Gegužės 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | Gegužės 30, 2026 |
| npm | @easy-entry/routes:99.9.5 | Gegužės 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Gegužės 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Gegužės 30, 2026 |
| vscode | xampp-manager:5.1.3 | Gegužės 30, 2026 |
| npm | @chat-template/auth:1.0.0 | Gegužės 31, 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | Birželis 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Birželis 1, 2026 |
| npm | nemo-reporteris: 1.8.2 | Birželis 1, 2026 |
| npm | cms-github:4.2.4 | Birželis 1, 2026 |
| npm | cms-helpgit:4.2.6 | Birželis 1, 2026 |
| npm | cms-helpgit:4.2.8 | Birželis 1, 2026 |
| npm | cms-storehub:1.3.4 | Birželis 1, 2026 |
| npm | cms-storehub:1.3.5 | Birželis 1, 2026 |
| npm | cms-storehub:1.3.6 | Birželis 1, 2026 |
| pypi | simpooreal-cli:0.3.0 | Birželis 1, 2026 |
| npm | mažmeninės prekybos vietos strategijos priekinė dalis: 1.1.1 | Birželis 1, 2026 |
| npm | mažmeninės prekybos vietos strategijos priekinė dalis: 1.1.2 | Birželis 1, 2026 |
| npm | „conversa-sdk:2.0.2“ | Birželis 1, 2026 |
| npm | veltrix: 9.0.0 | Birželis 1, 2026 |
| npm | veltrix: 9.0.1 | Birželis 1, 2026 |
| npm | jingmedeshishi: 1.0.4 | Birželis 1, 2026 |
| npm | jingmedeshishi: 1.0.5 | Birželis 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Birželis 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Birželis 1, 2026 |
| npm | @ownit/core:99.0.0 | Birželis 1, 2026 |
| npm | paciento dokumentai: 75.0.0 | Birželis 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Birželis 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Birželis 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Birželis 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Birželis 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Birželis 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Birželis 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Birželis 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Birželis 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | Birželis 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.8 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.12 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.16 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.17 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.18 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.19 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.20 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.21 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.22 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.23 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.24 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.25 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.26 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.27 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.28 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.29 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.30 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.31 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.32 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.41 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.42 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.43 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.44 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.45 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.46 | Birželis 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | Birželis 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Birželis 2, 2026 |
| npm | eyevox:9.0.1 | Birželis 2, 2026 |
| npm | jautrumas: 2.5.53 | Birželis 3, 2026 |
| npm | jautrumas: 2.5.54 | Birželis 3, 2026 |
| npm | jautrumas: 2.5.55 | Birželis 3, 2026 |
| npm | jautrumas: 2.5.56 | Birželis 3, 2026 |
| npm | jautrumas: 2.5.57 | Birželis 3, 2026 |
| npm | jautrumas: 2.5.61 | Birželis 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Birželis 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Birželis 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Birželis 4, 2026 |
| npm | lėšų rinkimo paslauga: 1.0.0 | Birželis 4, 2026 |
| npm | jautrumas: 2.5.67 | Birželis 4, 2026 |
| npm | jautrumas: 2.5.68 | Birželis 4, 2026 |
| npm | vg-sąveikos-modelis:40.0.5 | Birželis 4, 2026 |
| npm | internallib_v346:1.0.3 | Birželis 4, 2026 |
| npm | internallib_v346:1.0.5 | Birželis 4, 2026 |
| npm | internallib_v346:1.0.9 | Birželis 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 | Birželis 4, 2026 |
| npm | ai-sdk-helpers:0.3.0 | Birželis 4, 2026 |
| npm | ai-sdk-helpers:0.3.1 | Birželis 4, 2026 |
| npm | ai-sdk-helpers:1.1.0 | Birželis 4, 2026 |
| npm | ai-sdk-helpers:1.1.1 | Birželis 4, 2026 |
| npm | ai-sdk-helpers:1.3.0 | Birželis 4, 2026 |
| npm | ai-sdk-helpers:1.4.0 | Birželis 4, 2026 |
| npm | ai-sdk-helpers:1.4.2 | Birželis 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Birželis 4, 2026 |
| npm | jautrumas: 2.5.0 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.1 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.2 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.3 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.4 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.5 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.13 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.14 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.15 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.33 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.34 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.35 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.36 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.37 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.38 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.58 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.59 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.60 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.62 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.63 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.64 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.65 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.66 | Birželis 5, 2026 |
| npm | jautrumas: 2.5.69 | Birželis 5, 2026 |
Apsaugokite savo atvirojo kodo priklausomybes nuo pažeidžiamumų ir kenkėjiško kodo
Neleiskite kenkėjiškiems paketams pasiekti jūsų pipelines. „Xygeni“ ankstyvas kenkėjiškų programų aptikimas suteikia jūsų komandai realiuoju laiku matomumą apie svarbiausias grėsmes, aptinkant kenksmingas priklausomybes dar prieš joms paliečiant jūsų programinę įrangą.
Kaip aiškiai matyti šios savaitės santraukoje, kenkėjiškų paketų kampanijų apimtis ir sudėtingumas nesumažėja. Koordinuotas versijų perpildymas, mokėjimo modulio imitavimas ir vidiniai paketų pavadinimai yra tik keletas taktikų, kurias užpuolikai naudoja, kad išvengtų. standard Apsauga. Norint apsisaugoti nuo šių grėsmių, reikia daugiau nei periodinių auditų – reikia nuolat stebėti kiekvieną registrą, nuo kurio priklauso jūsų komandos.
Ksigenis Open Source Security Sprendimas nuskaito ir blokuoja kenksmingus paketus jų publikavimo metu, naudojant npm, PyPI ir kitus metodus. Kontekstualiai prioritetizuodamas pažeidžiamumus, kurie kelia didžiausią realią riziką (ir supaprastindamas taisymo kelią jūsų „DevSecOps“ komandoms), „Xygeni“ padeda jums užtikrinti saugų ir patikimą programinės įrangos tiekimą nesulėtinant kūrimo.




