Речиси секоја недела, нашите системи за детекција на малициозен софтвер скенираат илјадници нови и ажурирани пакети низ јавни регистри како npm и PyPI. Оваа недела беше многу активна.
Потврдивме 198 малициозни пакети, првенствено низ npm, со дополнителни случаи во PyPI, OpenVSX, Composer и VS Code екстензии. Неколку се појавија во координирани кластери, со повторени злонамерни изданија објавени под истите имиња или низ тесно поврзани семејства на пакети. Еден извонреден случај беше sensivity пакет, кој го преплави npm со над 60 версионирани изданија низ опсегот 2.5.x. Други значајни кластери беа ai-sdk-helpers (8 верзии насочени кон развивачите на вештачка интелигенција), @antoncallahan/aws-user-helper (7 верзии кои се преправаат дека се работи за алатка на AWS), @apple-pay-trust @google-pay-trust семејства (имитирање на модули за плаќање), @frengki0707/google-cloud-clone (5 верзии што го лажираат Google Cloud), и cms-storehub, cms-helpgit, и cms-github (таргетирање на CMS pipelines). Многу пакети имитираа модули за плаќање и наплата, enterprise и внатрешни веб-пакети, аналитички клиенти, UI фондации, алатки за развивачи, истражувачи на компоненти, пакети со облак и Google тема и други модули на кои најчесто им се верува во современите работни процеси за развој.
Ова не беа изолирани аномалии. Она што се издвои оваа недела беше обемот на повторено објавување низ истите семејства пакети, повторната употреба на шемите за именување и начинот на кој злонамерните пакети беа маскирани за да изгледаат како легитимни зависности во рамките на вистинската испорака на софтвер. pipelines.
Оваа неделна снимка е дел од нашиот тековен преглед на малициозен код, каде што ги потврдуваме новите закани и обезбедуваме практични информации за да им помогнеме на тимовите од DevSecOps да ги заштитат своите pipelines пред да се случи оштетувањето.
Да разгледаме што откривме оваа недела и зошто е важно.
| Екосистем | пакет | датум |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | Може 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Може 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Може 30, 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | Може 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | Може 30, 2026 |
| npm | @easy-entry/routes:99.9.5 | Може 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Може 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Може 30, 2026 |
| vscode | xampp-менаџер:5.1.3 | Може 30, 2026 |
| npm | @шаблон-за-разговор/автоматизација:1.0.0 | Може 31, 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | Јуни 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Јуни 1, 2026 |
| npm | немо-репортер: 1.8.2 | Јуни 1, 2026 |
| npm | cms-github:4.2.4 | Јуни 1, 2026 |
| npm | cms-helpgit:4.2.6 | Јуни 1, 2026 |
| npm | cms-helpgit:4.2.8 | Јуни 1, 2026 |
| npm | cms-storehub:1.3.4 | Јуни 1, 2026 |
| npm | cms-storehub:1.3.5 | Јуни 1, 2026 |
| npm | cms-storehub:1.3.6 | Јуни 1, 2026 |
| пипи | simtooreal-cli:0.3.0 | Јуни 1, 2026 |
| npm | Стратегија-за-локација-на-продажба-на-продажба-преден-еден:1.1.1 | Јуни 1, 2026 |
| npm | Стратегија-за-локација-на-продажба-на-продажба-преден-еден:1.1.2 | Јуни 1, 2026 |
| npm | conversa-sdk:2.0.2 | Јуни 1, 2026 |
| npm | велтрикс:9.0.0 | Јуни 1, 2026 |
| npm | велтрикс:9.0.1 | Јуни 1, 2026 |
| npm | jingmeideshishi: 1.0.4 | Јуни 1, 2026 |
| npm | jingmeideshishi: 1.0.5 | Јуни 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Јуни 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Јуни 1, 2026 |
| npm | @ownit/core:99.0.0 | Јуни 1, 2026 |
| npm | документи за пациентот: 75.0.0 | Јуни 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Јуни 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Јуни 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Јуни 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Јуни 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Јуни 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Јуни 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Јуни 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Јуни 1, 2026 |
| npm | @emcd-vue/b2b-плати-форма:5.7.4 | Јуни 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.8 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.12 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.16 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.17 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.18 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.19 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.20 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.21 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.22 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.23 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.24 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.25 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.26 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.27 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.28 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.29 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.30 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.31 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.32 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.41 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.42 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.43 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.44 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.45 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.46 | Јуни 2, 2026 |
| npm | meoo-ui-помошници: 1.0.1 | Јуни 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Јуни 2, 2026 |
| npm | ајвокс:9.0.1 | Јуни 2, 2026 |
| npm | чувствителност: 2.5.53 | Јуни 3, 2026 |
| npm | чувствителност: 2.5.54 | Јуни 3, 2026 |
| npm | чувствителност: 2.5.55 | Јуни 3, 2026 |
| npm | чувствителност: 2.5.56 | Јуни 3, 2026 |
| npm | чувствителност: 2.5.57 | Јуни 3, 2026 |
| npm | чувствителност: 2.5.61 | Јуни 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Јуни 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Јуни 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Јуни 4, 2026 |
| npm | услуга за собирање средства: 1.0.0 | Јуни 4, 2026 |
| npm | чувствителност: 2.5.67 | Јуни 4, 2026 |
| npm | чувствителност: 2.5.68 | Јуни 4, 2026 |
| npm | vg-модел-на-интеракција:40.0.5 | Јуни 4, 2026 |
| npm | internallib_v346:1.0.3 | Јуни 4, 2026 |
| npm | internallib_v346:1.0.5 | Јуни 4, 2026 |
| npm | internallib_v346:1.0.9 | Јуни 4, 2026 |
| npm | ai-sdk-помошници: 0.2.1 | Јуни 4, 2026 |
| npm | ai-sdk-помошници: 0.3.0 | Јуни 4, 2026 |
| npm | ai-sdk-помошници: 0.3.1 | Јуни 4, 2026 |
| npm | ai-sdk-помошници: 1.1.0 | Јуни 4, 2026 |
| npm | ai-sdk-помошници: 1.1.1 | Јуни 4, 2026 |
| npm | ai-sdk-помошници: 1.3.0 | Јуни 4, 2026 |
| npm | ai-sdk-помошници: 1.4.0 | Јуни 4, 2026 |
| npm | ai-sdk-помошници: 1.4.2 | Јуни 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Јуни 4, 2026 |
| npm | чувствителност: 2.5.0 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.1 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.2 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.3 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.4 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.5 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.13 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.14 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.15 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.33 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.34 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.35 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.36 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.37 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.38 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.58 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.59 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.60 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.62 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.63 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.64 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.65 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.66 | Јуни 5, 2026 |
| npm | чувствителност: 2.5.69 | Јуни 5, 2026 |
Заштитете ги вашите зависности од отворен код од ранливости и малициозен код
Не дозволувајте злонамерни пакети да стигнат до вас pipelines. Рано откривање на малициозен софтвер од Xygeni му дава на вашиот тим увид во реално време на заканите што се најважни, откривајќи ги штетните зависности пред тие воопшто да го допрат вашиот софтвер.
Како што јасно покажува овонеделниот преглед, обемот и софистицираноста на кампањите со малициозни пакети не забавуваат. Координираното поплавување на верзии, лажното претставување на модулот за плаќање и имињата на пакетите што звучат интерно се само некои од тактиките што напаѓачите ги користат за да ги избегнат. standard одбрана. За да се биде чекор пред овие закани, потребно е повеќе од периодични ревизии, туку и континуирано следење низ секој регистар од кој зависат вашите тимови.
Ксигени Open Source Security Решението скенира и блокира штетни пакети во моментот на објавување, преку npm, PyPI и пошироко. Со контекстуално приоритизирање на ранливостите што претставуваат најголем ризик во реалниот свет (и поедноставување на патот за санација за вашите DevSecOps тимови), Xygeni ви помага да одржувате безбедна и сигурна испорака на софтвер без да го забавувате развојот.




