Kważi kull ġimgħa, is-sistemi tagħna ta' skoperta ta' malware jiskennjaw eluf ta' pakketti ġodda u aġġornati f'reġistri pubbliċi bħal npm u PyPI. Din il-ġimgħa kienet attiva ħafna.
Aħna kkonfermajna 198 pakkett malizzjuż, primarjament madwar npm, b'każijiet addizzjonali fl-estensjonijiet ta' PyPI, OpenVSX, Composer, u VS Code. Diversi dehru fi gruppi kkoordinati, b'rilaxxi malizzjużi ripetuti ppubblikati taħt l-istess ismijiet jew madwar familji ta' pakketti relatati mill-qrib. Każ li spikka kien il- sensivity pakkett, li għarraq npm b'aktar minn 60 rilaxx verżjonit fil-medda 2.5.x. Raggruppamenti notevoli oħra inkludew ai-sdk-helpers (8 verżjonijiet immirati lejn l-iżviluppaturi tal-AI), @antoncallahan/aws-user-helper (7 verżjonijiet li jimpersonaw utilità tal-AWS), @apple-pay-trust u, @google-pay-trust familji (li jimitaw moduli ta' ħlas u ħlas), @frengki0707/google-cloud-clone (5 verżjonijiet li jqarrqu bil-Google Cloud), u cms-storehub, cms-helpgit, u cms-github (immira lejn is-CMS pipelines). Ħafna pakketti imitaw moduli ta' ħlas u checkout, enterprise u pakketti interni tal-web, klijenti analitiċi, fondazzjonijiet tal-UI, utilitajiet tal-iżviluppaturi, esploraturi tal-komponenti, pakketti bit-tema tal-cloud u tal-Google, u moduli oħra li huma komunement fdati fil-flussi tax-xogħol tal-iżvilupp moderni.
Dawn ma kinux anomaliji iżolati. Dak li spikka din il-ġimgħa kien l-iskala ta’ pubblikazzjoni ripetuta fl-istess familji ta’ pakketti, l-użu mill-ġdid ta’ mudelli ta’ ismijiet, u l-mod kif pakketti malizzjużi kienu moħbija biex jidhru bħala dipendenzi leġittimi ġewwa kunsinna ta’ softwer reali. pipelines.
Din l-istampa ta' kull ġimgħa hija parti mid-Digest tal-Kodiċi Malizzjuż li għaddej bħalissa, fejn nivvalidaw theddid ġdid u nipprovdu intelliġenza azzjonabbli biex ngħinu lit-timijiet tad-DevSecOps jipproteġu tagħhom. pipelines qabel ma sseħħ il-ħsara.
Ejjew nanalizzaw x'sibna din il-ġimgħa u għaliex huwa importanti.
| Ekosistema | Pakkett | data |
|---|---|---|
| npm | @cloudplatform-single-spa/amministrazzjoni:99.99.100 | Jista 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Jista 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Jista 30, 2026 |
| npm | @routes-faċli-ta'-dħul/inżul:99.9.5 | Jista 30, 2026 |
| npm | @easy-entry/barra-reġistrazzjoni-fop-navigator:99.9.5 | Jista 30, 2026 |
| npm | @dħul-easy/rotot:99.9.5 | Jista 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Jista 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Jista 30, 2026 |
| vscode | xampp-maniġer:5.1.3 | Jista 30, 2026 |
| npm | @chat-template/auth:1.0.0 | Jista 31, 2026 |
| npm | json-għal-skema-grafiku-sempliċi:1.0.0 | Ġunju 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Ġunju 1, 2026 |
| npm | nemo-reporter:1.8.2 | Ġunju 1, 2026 |
| npm | cms-github:4.2.4 | Ġunju 1, 2026 |
| npm | cms-helpgit:4.2.6 | Ġunju 1, 2026 |
| npm | cms-helpgit:4.2.8 | Ġunju 1, 2026 |
| npm | cms-storehub:1.3.4 | Ġunju 1, 2026 |
| npm | cms-storehub:1.3.5 | Ġunju 1, 2026 |
| npm | cms-storehub:1.3.6 | Ġunju 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Ġunju 1, 2026 |
| npm | strateġija-frontend-tal-post-tal-bejgħ-bl-imnut:1.1.1 | Ġunju 1, 2026 |
| npm | strateġija-frontend-tal-post-tal-bejgħ-bl-imnut:1.1.2 | Ġunju 1, 2026 |
| npm | konversa-sdk:2.0.2 | Ġunju 1, 2026 |
| npm | veltrix:9.0.0 | Ġunju 1, 2026 |
| npm | veltrix:9.0.1 | Ġunju 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Ġunju 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Ġunju 1, 2026 |
| npm | @tse-digital/qalba:99.0.0 | Ġunju 1, 2026 |
| npm | @telenor-se/qalba:99.0.0 | Ġunju 1, 2026 |
| npm | @ownit/qalba:99.0.0 | Ġunju 1, 2026 |
| npm | dokumenti tal-pazjent: 75.0.0 | Ġunju 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Ġunju 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Ġunju 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Ġunju 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Ġunju 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Ġunju 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Ġunju 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Ġunju 1, 2026 |
| npm | @emcd-vue/awtentiċità:6.4.9 | Ġunju 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | Ġunju 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.8 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.12 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.16 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.17 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.18 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.19 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.20 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.21 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.22 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.23 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.24 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.25 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.26 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.27 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.28 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.29 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.30 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.31 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.32 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.41 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.42 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.43 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.44 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.45 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.46 | Ġunju 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | Ġunju 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Ġunju 2, 2026 |
| npm | eyevox:9.0.1 | Ġunju 2, 2026 |
| npm | sensittività: 2.5.53 | Ġunju 3, 2026 |
| npm | sensittività: 2.5.54 | Ġunju 3, 2026 |
| npm | sensittività: 2.5.55 | Ġunju 3, 2026 |
| npm | sensittività: 2.5.56 | Ġunju 3, 2026 |
| npm | sensittività: 2.5.57 | Ġunju 3, 2026 |
| npm | sensittività: 2.5.61 | Ġunju 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Ġunju 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Ġunju 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Ġunju 4, 2026 |
| npm | ġbir ta' fondiserv:1.0.0 | Ġunju 4, 2026 |
| npm | sensittività: 2.5.67 | Ġunju 4, 2026 |
| npm | sensittività: 2.5.68 | Ġunju 4, 2026 |
| npm | mudell ta' interazzjoni vg:40.0.5 | Ġunju 4, 2026 |
| npm | internallib_v346:1.0.3 | Ġunju 4, 2026 |
| npm | internallib_v346:1.0.5 | Ġunju 4, 2026 |
| npm | internallib_v346:1.0.9 | Ġunju 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 | Ġunju 4, 2026 |
| npm | ai-sdk-helpers:0.3.0 | Ġunju 4, 2026 |
| npm | ai-sdk-helpers:0.3.1 | Ġunju 4, 2026 |
| npm | ai-sdk-helpers:1.1.0 | Ġunju 4, 2026 |
| npm | ai-sdk-helpers:1.1.1 | Ġunju 4, 2026 |
| npm | ai-sdk-helpers:1.3.0 | Ġunju 4, 2026 |
| npm | ai-sdk-helpers:1.4.0 | Ġunju 4, 2026 |
| npm | ai-sdk-helpers:1.4.2 | Ġunju 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Ġunju 4, 2026 |
| npm | sensittività: 2.5.0 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.1 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.2 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.3 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.4 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.5 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.13 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.14 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.15 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.33 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.34 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.35 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.36 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.37 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.38 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.58 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.59 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.60 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.62 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.63 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.64 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.65 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.66 | Ġunju 5, 2026 |
| npm | sensittività: 2.5.69 | Ġunju 5, 2026 |
Assigura d-Dipendenzi tas-Sors Miftuħ tiegħek kontra l-Vulnerabbiltajiet u l-Kodiċi Malizzjuż
Tħallix pakketti malizzjużi jaslu għandek pipelines. Sejbien Bikri ta' Malware minn Xygeni jagħti lit-tim tiegħek viżibilità f'ħin reali tat-theddid li huwa l-aktar importanti, billi jaqbad dipendenzi ta' ħsara qabel ma jmissu s-softwer tiegħek.
Kif juri b'mod ċar ir-riċetta ta' din il-ġimgħa, il-volum u s-sofistikazzjoni tal-kampanji ta' pakketti malizzjużi mhumiex qed jonqsu. L-għargħar ta' verżjonijiet ikkoordinati, l-impersonazzjoni tal-moduli tal-ħlas, u l-ismijiet tal-pakketti li jinstemgħu interni huma biss ftit mit-tattiċi li l-attakkanti qed jużaw biex jaħarbu. standard difiżi. Biex wieħed jibqa' pass 'il quddiem minn dawn it-theddid jeħtieġ aktar minn verifiki perjodiċi, jeħtieġ monitoraġġ kontinwu f'kull reġistru li jiddependu fuqu t-timijiet tiegħek.
Xygeni's Open Source Security Is-soluzzjoni tiskannja u timblokka pakketti ta' ħsara fil-punt tal-pubblikazzjoni, fl-npm, PyPI, u lil hinn. Billi tipprijoritizza b'mod kuntestwali l-vulnerabbiltajiet li joħolqu l-akbar riskju fid-dinja reali (u tissimplifika t-triq ta' rimedju għat-timijiet DevSecOps tiegħek) Xygeni jgħinek iżżomm kunsinna ta' softwer sigura u affidabbli mingħajr ma tnaqqas l-iżvilupp.




