Hampir setiap minggu, sistem pengesanan malware kami mengimbas beribu-ribu pakej baharu dan dikemas kini merentasi daftar awam seperti npm dan PyPI. Minggu ini sangat aktif.
Kami mengesahkan 198 pakej berniat jahat, terutamanya merentasi npm, dengan kes tambahan dalam sambungan PyPI, OpenVSX, Composer dan VS Code. Beberapa muncul dalam kelompok yang diselaraskan, dengan keluaran berniat jahat berulang kali diterbitkan di bawah nama yang sama atau merentasi keluarga pakej yang berkait rapat. Satu kes yang menonjol ialah sensivity pakej, yang membanjiri npm dengan lebih 60 keluaran versi merentasi julat 2.5.x. Kluster penting lain termasuk ai-sdk-helpers (8 versi yang menyasarkan pembangun AI), @antoncallahan/aws-user-helper (7 versi yang menyamar sebagai utiliti AWS), @apple-pay-trust dan @google-pay-trust keluarga (meniru modul pembayaran), @frengki0707/google-cloud-clone (5 versi yang memalsukan Google Cloud), dan cms-storehub, cms-helpgit, dan cms-github (mensasarkan CMS pipelines). Banyak pakej meniru modul pembayaran dan pembayaran, enterprise dan pakej web dalaman, klien analitik, asas UI, utiliti pembangun, penjelajah komponen, pakej bertema awan dan Google serta modul lain yang biasa dipercayai dalam aliran kerja pembangunan moden.
Ini bukanlah anomali terpencil. Apa yang menonjol minggu ini ialah skala penerbitan berulang merentasi keluarga pakej yang sama, penggunaan semula corak penamaan dan cara pakej berniat jahat disamarkan untuk kelihatan seperti kebergantungan yang sah dalam penghantaran perisian sebenar. pipelines.
Gambaran ringkas mingguan ini merupakan sebahagian daripada Ringkasan Kod Berbahaya kami yang berterusan, di mana kami mengesahkan ancaman baharu dan menyediakan risikan yang boleh diambil tindakan untuk membantu pasukan DevSecOps melindungi mereka pipelines sebelum kerosakan berlaku.
Mari kita huraikan apa yang kita temui minggu ini dan mengapa ia penting.
| Ekosistem | Pakej | Tarikh |
|---|---|---|
| npm | @cloudplatform-single-spa/pentadbiran:99.99.100 | Semoga 30, 2026 |
| npm | @cloudplatform-single-spa/storan-svp-s3:99.99.100 | Semoga 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Semoga 30, 2026 |
| npm | @kemasukan-mudah/laluan-pendaratan:99.9.5 | Semoga 30, 2026 |
| npm | @kemasukan-mudah/pendaftaran-luar-fop-navigator:99.9.5 | Semoga 30, 2026 |
| npm | @kemasukan-mudah/laluan:99.9.5 | Semoga 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Semoga 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Semoga 30, 2026 |
| vscode | pengurus-xampp:5.1.3 | Semoga 30, 2026 |
| npm | @template-sembang/auth:1.0.0 | Semoga 31, 2026 |
| npm | json-ke-skema-grafql-mudah:1.0.0 | Jun 1, 2026 |
| npm | @gs-select/aplikasi-pelanggan-penjimatan:99.0.0 | Jun 1, 2026 |
| npm | nemo-reporter:1.8.2 | Jun 1, 2026 |
| npm | cms-github:4.2.4 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.6 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.8 | Jun 1, 2026 |
| npm | cms-storehub:1.3.4 | Jun 1, 2026 |
| npm | cms-storehub:1.3.5 | Jun 1, 2026 |
| npm | cms-storehub:1.3.6 | Jun 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Jun 1, 2026 |
| npm | bahagian hadapan strategi-lokasi-runcit:1.1.1 | Jun 1, 2026 |
| npm | bahagian hadapan strategi-lokasi-runcit:1.1.2 | Jun 1, 2026 |
| npm | conversa-sdk:2.0.2 | Jun 1, 2026 |
| npm | veltrix:9.0.0 | Jun 1, 2026 |
| npm | veltrix:9.0.1 | Jun 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Jun 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Jun 1, 2026 |
| npm | @tse-digital/teras:99.0.0 | Jun 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Jun 1, 2026 |
| npm | @ownit/teras:99.0.0 | Jun 1, 2026 |
| npm | dokumenpesakit:75.0.0 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Jun 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Jun 1, 2026 |
| npm | @emcd-vue/b2b-payform:5.7.4 | Jun 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Jun 2, 2026 |
| npm | sensitiviti:2.5.8 | Jun 2, 2026 |
| npm | sensitiviti:2.5.12 | Jun 2, 2026 |
| npm | sensitiviti:2.5.16 | Jun 2, 2026 |
| npm | sensitiviti:2.5.17 | Jun 2, 2026 |
| npm | sensitiviti:2.5.18 | Jun 2, 2026 |
| npm | sensitiviti:2.5.19 | Jun 2, 2026 |
| npm | sensitiviti:2.5.20 | Jun 2, 2026 |
| npm | sensitiviti:2.5.21 | Jun 2, 2026 |
| npm | sensitiviti:2.5.22 | Jun 2, 2026 |
| npm | sensitiviti:2.5.23 | Jun 2, 2026 |
| npm | sensitiviti:2.5.24 | Jun 2, 2026 |
| npm | sensitiviti:2.5.25 | Jun 2, 2026 |
| npm | sensitiviti:2.5.26 | Jun 2, 2026 |
| npm | sensitiviti:2.5.27 | Jun 2, 2026 |
| npm | sensitiviti:2.5.28 | Jun 2, 2026 |
| npm | sensitiviti:2.5.29 | Jun 2, 2026 |
| npm | sensitiviti:2.5.30 | Jun 2, 2026 |
| npm | sensitiviti:2.5.31 | Jun 2, 2026 |
| npm | sensitiviti:2.5.32 | Jun 2, 2026 |
| npm | sensitiviti:2.5.41 | Jun 2, 2026 |
| npm | sensitiviti:2.5.42 | Jun 2, 2026 |
| npm | sensitiviti:2.5.43 | Jun 2, 2026 |
| npm | sensitiviti:2.5.44 | Jun 2, 2026 |
| npm | sensitiviti:2.5.45 | Jun 2, 2026 |
| npm | sensitiviti:2.5.46 | Jun 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | Jun 2, 2026 |
| npm | @langgraphjs/kit alat:1.2.10 | Jun 2, 2026 |
| npm | eyevox:9.0.1 | Jun 2, 2026 |
| npm | sensitiviti:2.5.53 | Jun 3, 2026 |
| npm | sensitiviti:2.5.54 | Jun 3, 2026 |
| npm | sensitiviti:2.5.55 | Jun 3, 2026 |
| npm | sensitiviti:2.5.56 | Jun 3, 2026 |
| npm | sensitiviti:2.5.57 | Jun 3, 2026 |
| npm | sensitiviti:2.5.61 | Jun 3, 2026 |
| npm | @sentry-browser-sdk/nod-pemprofilan:1.0.1 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/nod-pemprofilan:1.0.2 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/nod-pemprofilan:1.0.5 | Jun 4, 2026 |
| npm | perkhidmatan pengumpulan dana:1.0.0 | Jun 4, 2026 |
| npm | sensitiviti:2.5.67 | Jun 4, 2026 |
| npm | sensitiviti:2.5.68 | Jun 4, 2026 |
| npm | model-interaksi-vg:40.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.3 | Jun 4, 2026 |
| npm | internallib_v346:1.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.9 | Jun 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 | Jun 4, 2026 |
| npm | ai-sdk-helpers:0.3.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:0.3.1 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.1.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.1.1 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.3.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.4.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.4.2 | Jun 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Jun 4, 2026 |
| npm | sensitiviti:2.5.0 | Jun 5, 2026 |
| npm | sensitiviti:2.5.1 | Jun 5, 2026 |
| npm | sensitiviti:2.5.2 | Jun 5, 2026 |
| npm | sensitiviti:2.5.3 | Jun 5, 2026 |
| npm | sensitiviti:2.5.4 | Jun 5, 2026 |
| npm | sensitiviti:2.5.5 | Jun 5, 2026 |
| npm | sensitiviti:2.5.13 | Jun 5, 2026 |
| npm | sensitiviti:2.5.14 | Jun 5, 2026 |
| npm | sensitiviti:2.5.15 | Jun 5, 2026 |
| npm | sensitiviti:2.5.33 | Jun 5, 2026 |
| npm | sensitiviti:2.5.34 | Jun 5, 2026 |
| npm | sensitiviti:2.5.35 | Jun 5, 2026 |
| npm | sensitiviti:2.5.36 | Jun 5, 2026 |
| npm | sensitiviti:2.5.37 | Jun 5, 2026 |
| npm | sensitiviti:2.5.38 | Jun 5, 2026 |
| npm | sensitiviti:2.5.58 | Jun 5, 2026 |
| npm | sensitiviti:2.5.59 | Jun 5, 2026 |
| npm | sensitiviti:2.5.60 | Jun 5, 2026 |
| npm | sensitiviti:2.5.62 | Jun 5, 2026 |
| npm | sensitiviti:2.5.63 | Jun 5, 2026 |
| npm | sensitiviti:2.5.64 | Jun 5, 2026 |
| npm | sensitiviti:2.5.65 | Jun 5, 2026 |
| npm | sensitiviti:2.5.66 | Jun 5, 2026 |
| npm | sensitiviti:2.5.69 | Jun 5, 2026 |
Lindungi Kebergantungan Sumber Terbuka Anda daripada Kerentanan dan Kod Berniat Jahat
Jangan biarkan pakej berniat jahat sampai ke tangan anda pipelines. Pengesanan Perisian Hasad Awal Xygeni memberikan pasukan anda keterlihatan masa nyata tentang ancaman yang paling penting, mengesan kebergantungan berbahaya sebelum ia menyentuh perisian anda.
Seperti yang dijelaskan dalam ringkasan minggu ini, jumlah dan kecanggihan kempen pakej berniat jahat tidak berkurangan. Banjir versi yang diselaraskan, penyamaran modul pembayaran dan nama pakej yang kedengaran seperti dalaman hanyalah sebahagian daripada taktik yang digunakan oleh penyerang untuk mengelak daripada dibocorkan. standard pertahanan. Mengekalkan kawalan terhadap ancaman ini memerlukan lebih daripada sekadar audit berkala, ia memerlukan pemantauan berterusan merentasi setiap pendaftaran yang menjadi tumpuan pasukan anda.
Xygeni's Open Source Security Penyelesaian mengimbas dan menyekat pakej berbahaya pada saat penerbitan, merentasi npm, PyPI dan seterusnya. Dengan mengutamakan kerentanan yang menimbulkan risiko dunia sebenar secara kontekstual (dan memperkemas laluan pemulihan untuk pasukan DevSecOps anda) Xygeni membantu anda mengekalkan penghantaran perisian yang selamat dan andal tanpa memperlahankan pembangunan.




