Gandrīz katru nedēļuMūsu ļaunprogrammatūras noteikšanas sistēmas skenē tūkstošiem jaunu un atjauninātu pakotņu publiskos reģistros, piemēram, npm un PyPI. Šī nedēļa bija ļoti aktīva.
Mēs apstiprinājām 198 ļaunprātīgas paketes, galvenokārt npm ietvaros, ar papildu gadījumiem PyPI, OpenVSX, Composer un VS Code paplašinājumos. Vairāki gadījumi parādījās koordinētos klasteros, un atkārtoti ļaunprātīgi laidieni tika publicēti ar tiem pašiem nosaukumiem vai cieši saistītās pakotņu saimēs. Izcils gadījums bija sensivity pakotne, kas pārpludināja npm ar vairāk nekā 60 versiju izlaidumiem visā 2.5.x diapazonā. Citi ievērojami klasteri ietvēra ai-sdk-helpers (8 versijas, kas paredzētas mākslīgā intelekta izstrādātājiem), @antoncallahan/aws-user-helper (7 versijas, kas uzdodas par AWS utilītu), @apple-pay-trust un @google-pay-trust ģimenes (atdarinot maksājumu norēķinu moduļus), @frengki0707/google-cloud-clone (5 versijas, kas atdarina Google Cloud) un cms-storehub, cms-helpgit, un cms-github (mērķauditorijas atlase CMS) pipelines). Daudzas pakotnes atdarināja maksājumu un norēķinu moduļus, enterprise un iekšējās tīmekļa pakotnes, analītikas klientus, lietotāja saskarnes pamatus, izstrādātāju utilītas, komponentu pārlūkus, mākoņa un Google tematikas pakotnes un citus moduļus, kuriem parasti uzticas mūsdienu izstrādes darbplūsmās.
Tās nebija atsevišķas anomālijas. Šonedēļ īpaši izcēlās atkārtotas publicēšanas apmērs vienās un tajās pašās pakotņu saimēs, nosaukumu modeļu atkārtota izmantošana un veids, kā ļaunprātīgas pakotnes tika maskētas, lai izskatītos pēc likumīgām atkarībām reālas programmatūras piegādes ietvaros. pipelines.
Šis iknedēļas momentuzņēmums ir daļa no mūsu notiekošā ļaunprātīgā koda apkopojuma, kurā mēs validējam jaunus draudus un sniedzam noderīgu informāciju, lai palīdzētu DevSecOps komandām aizsargāt savus pipelines pirms bojājumu rašanās.
Apskatīsim, ko mēs atklājām šonedēļ un kāpēc tas ir svarīgi.
| Ekosistēma | Pakete | datums |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | 30. gada 2026. maijs |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30. gada 2026. maijs |
| npm | @maximvs1538/os-npm:99.0.0 | 30. gada 2026. maijs |
| npm | @viegla-iebraukšana/nosēšanās-maršruti:99.9.5 | 30. gada 2026. maijs |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30. gada 2026. maijs |
| npm | @easy-entry/routes:99.9.5 | 30. gada 2026. maijs |
| npm | @t-in-one/form_product_token:5.7.1 | 30. gada 2026. maijs |
| npm | @capibar.chat/ui-kit:99.5.7 | 30. gada 2026. maijs |
| vscode | xampp-manager:5.1.3 | 30. gada 2026. maijs |
| npm | @chat-template/auth:1.0.0 | 31. gada 2026. maijs |
| npm | json-to-simple-graphql-schema:1.0.0 | Jūnijs 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Jūnijs 1, 2026 |
| npm | nemo-reporter:1.8.2 | Jūnijs 1, 2026 |
| npm | cms-github:4.2.4 | Jūnijs 1, 2026 |
| npm | cms-helpgit:4.2.6 | Jūnijs 1, 2026 |
| npm | cms-helpgit:4.2.8 | Jūnijs 1, 2026 |
| npm | cms-storehub:1.3.4 | Jūnijs 1, 2026 |
| npm | cms-storehub:1.3.5 | Jūnijs 1, 2026 |
| npm | cms-storehub:1.3.6 | Jūnijs 1, 2026 |
| pypi | simpooreal-cli:0.3.0 | Jūnijs 1, 2026 |
| npm | Mazumtirdzniecības atrašanās vietas stratēģijas frontend:1.1.1 | Jūnijs 1, 2026 |
| npm | Mazumtirdzniecības atrašanās vietas stratēģijas frontend:1.1.2 | Jūnijs 1, 2026 |
| npm | conversa-sdk:2.0.2 | Jūnijs 1, 2026 |
| npm | veltrix:9.0.0 | Jūnijs 1, 2026 |
| npm | veltrix:9.0.1 | Jūnijs 1, 2026 |
| npm | jingmedeshishi: 1.0.4 | Jūnijs 1, 2026 |
| npm | jingmedeshishi: 1.0.5 | Jūnijs 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Jūnijs 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Jūnijs 1, 2026 |
| npm | @ownit/core:99.0.0 | Jūnijs 1, 2026 |
| npm | pacienta dokumenti: 75.0.0 | Jūnijs 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Jūnijs 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Jūnijs 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Jūnijs 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Jūnijs 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Jūnijs 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Jūnijs 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Jūnijs 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Jūnijs 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | Jūnijs 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.8 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.12 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.16 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.17 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.18 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.19 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.20 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.21 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.22 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.23 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.24 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.25 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.26 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.27 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.28 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.29 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.30 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.31 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.32 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.41 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.42 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.43 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.44 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.45 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.46 | Jūnijs 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | Jūnijs 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Jūnijs 2, 2026 |
| npm | eyevox:9.0.1 | Jūnijs 2, 2026 |
| npm | jutība: 2.5.53 | Jūnijs 3, 2026 |
| npm | jutība: 2.5.54 | Jūnijs 3, 2026 |
| npm | jutība: 2.5.55 | Jūnijs 3, 2026 |
| npm | jutība: 2.5.56 | Jūnijs 3, 2026 |
| npm | jutība: 2.5.57 | Jūnijs 3, 2026 |
| npm | jutība: 2.5.61 | Jūnijs 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Jūnijs 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Jūnijs 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Jūnijs 4, 2026 |
| npm | līdzekļu vākšanas pakalpojums: 1.0.0 | Jūnijs 4, 2026 |
| npm | jutība: 2.5.67 | Jūnijs 4, 2026 |
| npm | jutība: 2.5.68 | Jūnijs 4, 2026 |
| npm | vg-mijiedarbības-modelis:40.0.5 | Jūnijs 4, 2026 |
| npm | internallib_v346:1.0.3 | Jūnijs 4, 2026 |
| npm | internallib_v346:1.0.5 | Jūnijs 4, 2026 |
| npm | internallib_v346:1.0.9 | Jūnijs 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 | Jūnijs 4, 2026 |
| npm | ai-sdk-helpers:0.3.0 | Jūnijs 4, 2026 |
| npm | ai-sdk-helpers:0.3.1 | Jūnijs 4, 2026 |
| npm | ai-sdk-helpers:1.1.0 | Jūnijs 4, 2026 |
| npm | ai-sdk-helpers:1.1.1 | Jūnijs 4, 2026 |
| npm | ai-sdk-helpers:1.3.0 | Jūnijs 4, 2026 |
| npm | ai-sdk-helpers:1.4.0 | Jūnijs 4, 2026 |
| npm | ai-sdk-helpers:1.4.2 | Jūnijs 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Jūnijs 4, 2026 |
| npm | jutība: 2.5.0 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.1 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.2 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.3 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.4 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.5 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.13 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.14 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.15 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.33 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.34 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.35 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.36 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.37 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.38 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.58 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.59 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.60 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.62 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.63 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.64 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.65 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.66 | Jūnijs 5, 2026 |
| npm | jutība: 2.5.69 | Jūnijs 5, 2026 |
Aizsargājiet savas atvērtā pirmkoda programmatūras atkarības pret ievainojamībām un ļaunprātīgu kodu
Neļaujiet ļaunprātīgām pakotnēm sasniegt jūsu tālruni pipelines. Xygeni agrīna ļaunprogrammatūras noteikšana sniedz jūsu komandai reāllaika redzamību par vissvarīgākajiem draudiem, atklājot kaitīgās atkarības, pirms tās skar jūsu programmatūru.
Kā liecina šīs nedēļas apskats, ļaunprātīgu pakotņu kampaņu apjoms un sarežģītība nemazinās. Koordinēta versiju pārpludināšana, maksājumu moduļu personifikācija un iekšēji skanoši pakotņu nosaukumi ir tikai dažas no taktikām, ko uzbrucēji izmanto, lai apietu. standard aizsardzība. Lai apsteigtu šos draudus, ir nepieciešams vairāk nekā tikai periodiskas revīzijas, tā prasa nepārtrauktu uzraudzību katrā reģistrā, no kura ir atkarīgas jūsu komandas.
Ksigēni Open Source Security Risinājums skenē un bloķē kaitīgas pakotnes publicēšanas brīdī, izmantojot npm, PyPI un citus risinājumus. Kontekstuāli prioritāri piešķirot ievainojamības, kas rada vislielāko reālo risku (un racionalizējot jūsu DevSecOps komandu novēršanas ceļu), Xygeni palīdz uzturēt drošu un uzticamu programmatūras piegādi, nepalēninot izstrādi.




