Kenkėjiško kodo santrauka 73

„Xygeni“ kenkėjiško kodo santrauka 73

Beveik kiekvieną savaitęMūsų kenkėjiškų programų aptikimo sistemos nuskaito tūkstančius naujų ir atnaujintų paketų viešuosiuose registruose, tokiuose kaip npm ir PyPI. Ši savaitė buvo labai aktyvi.

Mes patvirtinome 198 kenkėjiškų paketų, daugiausia npm, su papildomais atvejais PyPI, OpenVSX, Composer ir VS Code plėtiniuose. Keletas atvejų pasirodė koordinuotose grupėse, o kenkėjiškos versijos buvo paskelbtos tais pačiais pavadinimais arba glaudžiai susijusiose paketų šeimose. Išskirtinis atvejis buvo sensivity paketas, kuris užtvindė npm daugiau nei 60 versijų leidimų visoje 2.5.x versijoje. Kiti žymūs klasteriai buvo ai-sdk-helpers (8 versijos, skirtos dirbtinio intelekto kūrėjams), @antoncallahan/aws-user-helper (7 versijos, apsimetančios AWS įrankiu), @apple-pay-trust bei @google-pay-trust šeimos (mėgdžiojančios mokėjimo ir atsiskaitymo modulius), @frengki0707/google-cloud-clone (5 versijos, imituojančios „Google Cloud“) ir cms-storehub, cms-helpgitir cms-github (nukreipta į TVS) pipelines). Daugelyje paketų buvo imituojami mokėjimo ir atsiskaitymo moduliai, enterprise ir vidinius žiniatinklio paketus, analizės klientus, vartotojo sąsajos pagrindus, kūrėjų įrankius, komponentų naršykles, debesijos ir „Google“ tematikos paketus bei kitus modulius, kuriais dažniausiai pasitikima šiuolaikiniuose kūrimo darbo eigose.

Tai nebuvo pavieniai anomalijos. Šią savaitę į akis krito pakartotinio publikavimo tose pačiose paketų šeimose mastas, pavadinimų šablonų pakartotinis naudojimas ir tai, kaip kenkėjiški paketai buvo maskuojami taip, kad atrodytų kaip teisėtos priklausomybės realiame programinės įrangos tiekime. pipelines.

Ši savaitinė apžvalga yra mūsų nuolat vykdomo kenkėjiško kodo santraukos dalis, kurioje tikriname naujas grėsmes ir teikiame praktinę informaciją, padėsiančią „DevSecOps“ komandoms apsaugoti savo... pipelines prieš atsirandant žalai.

Aptarkime, ką atradome šią savaitę ir kodėl tai svarbu.

Patvirtinti kenkėjiški paketai
ekosistema Paketas Data
npm@cloudplatform-single-spa/administration:99.99.100Gegužės 30, 2026
npm@cloudplatform-single-spa/svp-s3-storage:99.99.100Gegužės 30, 2026
npm@maximvs1538/os-npm:99.0.0Gegužės 30, 2026
npm@lengva-įvažiavimo-/nusileidimo-maršrutai:99.9.5Gegužės 30, 2026
npm@easy-entry/outside-registration-fop-navigator:99.9.5Gegužės 30, 2026
npm@easy-entry/routes:99.9.5Gegužės 30, 2026
npm@t-in-one/form_product_token:5.7.1Gegužės 30, 2026
npm@capibar.chat/ui-kit:99.5.7Gegužės 30, 2026
vscodexampp-manager:5.1.3Gegužės 30, 2026
npm@chat-template/auth:1.0.0Gegužės 31, 2026
npmjson-to-simple-graphql-schema:1.0.0Birželis 1, 2026
npm@gs-select/savings-client-application:99.0.0Birželis 1, 2026
npmnemo-reporteris: 1.8.2Birželis 1, 2026
npmcms-github:4.2.4Birželis 1, 2026
npmcms-helpgit:4.2.6Birželis 1, 2026
npmcms-helpgit:4.2.8Birželis 1, 2026
npmcms-storehub:1.3.4Birželis 1, 2026
npmcms-storehub:1.3.5Birželis 1, 2026
npmcms-storehub:1.3.6Birželis 1, 2026
pypisimpooreal-cli:0.3.0Birželis 1, 2026
npmmažmeninės prekybos vietos strategijos priekinė dalis: 1.1.1Birželis 1, 2026
npmmažmeninės prekybos vietos strategijos priekinė dalis: 1.1.2Birželis 1, 2026
npm„conversa-sdk:2.0.2“Birželis 1, 2026
npmveltrix: 9.0.0Birželis 1, 2026
npmveltrix: 9.0.1Birželis 1, 2026
npmjingmedeshishi: 1.0.4Birželis 1, 2026
npmjingmedeshishi: 1.0.5Birželis 1, 2026
npm@tse-digital/core:99.0.0Birželis 1, 2026
npm@telenor-se/core:99.0.0Birželis 1, 2026
npm@ownit/core:99.0.0Birželis 1, 2026
npmpaciento dokumentai: 75.0.0Birželis 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.69Birželis 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.68Birželis 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.82Birželis 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.80Birželis 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.81Birželis 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.83Birželis 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.3Birželis 1, 2026
npm@emcd-vue/auth:6.4.9Birželis 1, 2026
npm@emcd-vue/b2b-pay-form:5.7.4Birželis 1, 2026
npm@ccrm/user-storage-api-axios:5.0.1Birželis 2, 2026
npmjautrumas: 2.5.8Birželis 2, 2026
npmjautrumas: 2.5.12Birželis 2, 2026
npmjautrumas: 2.5.16Birželis 2, 2026
npmjautrumas: 2.5.17Birželis 2, 2026
npmjautrumas: 2.5.18Birželis 2, 2026
npmjautrumas: 2.5.19Birželis 2, 2026
npmjautrumas: 2.5.20Birželis 2, 2026
npmjautrumas: 2.5.21Birželis 2, 2026
npmjautrumas: 2.5.22Birželis 2, 2026
npmjautrumas: 2.5.23Birželis 2, 2026
npmjautrumas: 2.5.24Birželis 2, 2026
npmjautrumas: 2.5.25Birželis 2, 2026
npmjautrumas: 2.5.26Birželis 2, 2026
npmjautrumas: 2.5.27Birželis 2, 2026
npmjautrumas: 2.5.28Birželis 2, 2026
npmjautrumas: 2.5.29Birželis 2, 2026
npmjautrumas: 2.5.30Birželis 2, 2026
npmjautrumas: 2.5.31Birželis 2, 2026
npmjautrumas: 2.5.32Birželis 2, 2026
npmjautrumas: 2.5.41Birželis 2, 2026
npmjautrumas: 2.5.42Birželis 2, 2026
npmjautrumas: 2.5.43Birželis 2, 2026
npmjautrumas: 2.5.44Birželis 2, 2026
npmjautrumas: 2.5.45Birželis 2, 2026
npmjautrumas: 2.5.46Birželis 2, 2026
npmmeoo-ui-helpers:1.0.1Birželis 2, 2026
npm@langgraphjs/toolkit:1.2.10Birželis 2, 2026
npmeyevox:9.0.1Birželis 2, 2026
npmjautrumas: 2.5.53Birželis 3, 2026
npmjautrumas: 2.5.54Birželis 3, 2026
npmjautrumas: 2.5.55Birželis 3, 2026
npmjautrumas: 2.5.56Birželis 3, 2026
npmjautrumas: 2.5.57Birželis 3, 2026
npmjautrumas: 2.5.61Birželis 3, 2026
npm@sentry-browser-sdk/profiling-node:1.0.1Birželis 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.2Birželis 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.5Birželis 4, 2026
npmlėšų rinkimo paslauga: 1.0.0Birželis 4, 2026
npmjautrumas: 2.5.67Birželis 4, 2026
npmjautrumas: 2.5.68Birželis 4, 2026
npmvg-sąveikos-modelis:40.0.5Birželis 4, 2026
npminternallib_v346:1.0.3Birželis 4, 2026
npminternallib_v346:1.0.5Birželis 4, 2026
npminternallib_v346:1.0.9Birželis 4, 2026
npmai-sdk-helpers:0.2.1Birželis 4, 2026
npmai-sdk-helpers:0.3.0Birželis 4, 2026
npmai-sdk-helpers:0.3.1Birželis 4, 2026
npmai-sdk-helpers:1.1.0Birželis 4, 2026
npmai-sdk-helpers:1.1.1Birželis 4, 2026
npmai-sdk-helpers:1.3.0Birželis 4, 2026
npmai-sdk-helpers:1.4.0Birželis 4, 2026
npmai-sdk-helpers:1.4.2Birželis 4, 2026
npm@achuthvp/postinstall-poc:1.0.3Birželis 4, 2026
npmjautrumas: 2.5.0Birželis 5, 2026
npmjautrumas: 2.5.1Birželis 5, 2026
npmjautrumas: 2.5.2Birželis 5, 2026
npmjautrumas: 2.5.3Birželis 5, 2026
npmjautrumas: 2.5.4Birželis 5, 2026
npmjautrumas: 2.5.5Birželis 5, 2026
npmjautrumas: 2.5.13Birželis 5, 2026
npmjautrumas: 2.5.14Birželis 5, 2026
npmjautrumas: 2.5.15Birželis 5, 2026
npmjautrumas: 2.5.33Birželis 5, 2026
npmjautrumas: 2.5.34Birželis 5, 2026
npmjautrumas: 2.5.35Birželis 5, 2026
npmjautrumas: 2.5.36Birželis 5, 2026
npmjautrumas: 2.5.37Birželis 5, 2026
npmjautrumas: 2.5.38Birželis 5, 2026
npmjautrumas: 2.5.58Birželis 5, 2026
npmjautrumas: 2.5.59Birželis 5, 2026
npmjautrumas: 2.5.60Birželis 5, 2026
npmjautrumas: 2.5.62Birželis 5, 2026
npmjautrumas: 2.5.63Birželis 5, 2026
npmjautrumas: 2.5.64Birželis 5, 2026
npmjautrumas: 2.5.65Birželis 5, 2026
npmjautrumas: 2.5.66Birželis 5, 2026
npmjautrumas: 2.5.69Birželis 5, 2026


Apsaugokite savo atvirojo kodo priklausomybes nuo pažeidžiamumų ir kenkėjiško kodo

Neleiskite kenkėjiškiems paketams pasiekti jūsų pipelines. „Xygeni“ ankstyvas kenkėjiškų programų aptikimas suteikia jūsų komandai realiuoju laiku matomumą apie svarbiausias grėsmes, aptinkant kenksmingas priklausomybes dar prieš joms paliečiant jūsų programinę įrangą.

Kaip aiškiai matyti šios savaitės santraukoje, kenkėjiškų paketų kampanijų apimtis ir sudėtingumas nesumažėja. Koordinuotas versijų perpildymas, mokėjimo modulio imitavimas ir vidiniai paketų pavadinimai yra tik keletas taktikų, kurias užpuolikai naudoja, kad išvengtų. standard Apsauga. Norint apsisaugoti nuo šių grėsmių, reikia daugiau nei periodinių auditų – reikia nuolat stebėti kiekvieną registrą, nuo kurio priklauso jūsų komandos.

Ksigenis Open Source Security Sprendimas nuskaito ir blokuoja kenksmingus paketus jų publikavimo metu, naudojant npm, PyPI ir kitus metodus. Kontekstualiai prioritetizuodamas pažeidžiamumus, kurie kelia didžiausią realią riziką (ir supaprastindamas taisymo kelią jūsų „DevSecOps“ komandoms), „Xygeni“ padeda jums užtikrinti saugų ir patikimą programinės įrangos tiekimą nesulėtinant kūrimo.

sca-tools-software-composition-analyses-tools
Prioritetizuoti, pašalinti ir apsaugoti savo programinės įrangos rizikas
Gaukite nemokamą paskyrą.
Nebūtina kreditinės kortelės.

Apsaugokite savo programinės įrangos kūrimą ir tiekimą

su „Xygeni“ produktų rinkiniu