အန္တရာယ်ရှိသော ကုဒ် ဒိုင်ဂျက်စ် ၇၁

Xygeni Malicious Code Digest 73

မာတိကာ

မဖြစ်မနေဖတ်သင့်သောပို့စ်များ

စိတ်ဝင်စားဖွယ်ကောင်းသော နောက်ဆုံးပို့စ်များ

အပတ်တိုင်းလိုလိုကျွန်ုပ်တို့၏ malware ထောက်လှမ်းမှုစနစ်များသည် npm နှင့် PyPI ကဲ့သို့သော အများသုံး မှတ်ပုံတင်များတွင် ထောင်ပေါင်းများစွာသော အသစ်နှင့် အပ်ဒိတ်လုပ်ထားသော package များကို စကင်ဖတ်စစ်ဆေးပါသည်။ ယခုအပတ်သည် အလွန်တက်ကြွပါသည်။

ကျွန်တော်တို့ အတည်ပြုခဲ့ပါတယ် အန္တရာယ်ရှိသော ပက်ကေ့ဂျ် ၆၄၅ ခုအဓိကအားဖြင့် npm တွင် ပေါ်လာပြီး PyPI၊ OpenVSX၊ Composer နှင့် VS Code extension များတွင် အပိုဆောင်းဖြစ်ရပ်များ ပါဝင်သည်။ များစွာသော တိုက်ခိုက်မှုများသည် ပေါင်းစပ်ထားသော cluster များတွင် ပေါ်လာပြီး အမည်တူ သို့မဟုတ် ဆက်စပ်နေသော package မိသားစုများတွင် ထပ်ခါတလဲလဲ ထုတ်ဝေခဲ့သည်။ ထင်ရှားသော ဖြစ်ရပ်တစ်ခုမှာ sensivity package သည် npm ကို 2.5.x အကွာအဝေးတစ်လျှောက် ဗားရှင်းထုတ်လွှတ်မှု ၆၀ ကျော်ဖြင့် ပြည့်နှက်စေခဲ့သည်။ အခြားထင်ရှားသော cluster များတွင် ပါဝင်သည် ai-sdk-helpers (AI ဆော့ဖ်ဝဲရေးသားသူများကို ပစ်မှတ်ထားသော ဗားရှင်း ၈ ခု)၊ @antoncallahan/aws-user-helper (AWS utility ကို အယောင်ဆောင်သော ဗားရှင်း ၇ ခု)၊ @apple-pay-trust နှင့် @google-pay-trust မိသားစုများ (ငွေပေးချေမှု စစ်ဆေးရေး မော်ဂျူးများကို တုပခြင်း)၊ @frengki0707/google-cloud-clone (Google Cloud ကို လှည့်စားသည့် ဗားရှင်း ၅ ခု) နှင့် cms-storehub, cms-helpgitနှင့် cms-github (CMS ကို ပစ်မှတ်ထားခြင်း pipelines)။ ပက်ကေ့ဂျ်များစွာသည် ငွေပေးချေမှုနှင့် ငွေရှင်းခြင်း မော်ဂျူးများကို တုပထားသည်။ enterprise နှင့် internal web package များ၊ analytics client များ၊ UI foundations များ၊ developer utilities များ၊ component explorers များ၊ cloud- နှင့် Google-themed package များနှင့် ခေတ်မီ development workflow များတွင် ယုံကြည်စိတ်ချရသော အခြား module များ။

၎င်းတို့သည် သီးခြားဖြစ်ပေါ်နေသော ပုံမှန်မဟုတ်သော အချက်အလက်များ မဟုတ်ပါ။ ယခုအပတ်တွင် ထင်ရှားစွာ ပေါ်လွင်ခဲ့သည်မှာ တူညီသော package မိသားစုများတွင် ထပ်ခါတလဲလဲ ထုတ်ဝေမှုပမာဏ၊ အမည်ပေးပုံစံများကို ပြန်လည်အသုံးပြုခြင်းနှင့် အစစ်အမှန် software ပေးပို့မှုအတွင်းတွင် တရားဝင် dependencies များကဲ့သို့ အသွင်ပြောင်းထားသော malicious package များဖြစ်သည်။ pipelines.

ဤအပတ်စဉ် လျှပ်တစ်ပြက်ပုံရိပ်သည် ကျွန်ုပ်တို့၏ လက်ရှိလုပ်ဆောင်နေသော Malicious Code Digest ၏ တစ်စိတ်တစ်ပိုင်းဖြစ်ပြီး DevSecOps အဖွဲ့များအား ၎င်းတို့၏ ... ကို ကာကွယ်ရန် ကူညီရန် ခြိမ်းခြောက်မှုအသစ်များကို အတည်ပြုပြီး လက်တွေ့လုပ်ဆောင်နိုင်သော ထောက်လှမ်းရေးများကို ပံ့ပိုးပေးပါသည်။ pipelineပျက်စီးမှုမဖြစ်ပွားမီ s။

ဒီအပတ်မှာ ကျွန်တော်တို့တွေ့ရှိခဲ့တဲ့အရာနဲ့ ဘာကြောင့်အရေးကြီးတယ်ဆိုတာကို ခွဲခြမ်းစိတ်ဖြာကြည့်ရအောင်။

အတည်ပြုထားသော အန္တရာယ်ရှိသော အထုပ်များ
ဂေဟစနစ် အထုပ် နေ့စှဲ
npm@cloudplatform-single-spa/အုပ်ချုပ်ရေး:99.99.100မေလ 30, 2026
npm@cloudplatform-single-spa/svp-s3-storage:99.99.100မေလ 30, 2026
npm@maximvs1538/os-npm:99.0.0မေလ 30, 2026
npm@လွယ်ကူစွာဝင်ရောက်/ဆင်းသက်လမ်းကြောင်းများ- ၉၉.၉.၅မေလ 30, 2026
npm@easy-entry/outside-registration-fop-navigator:99.9.5မေလ 30, 2026
npm@easy-entry/routes:99.9.5မေလ 30, 2026
npm@t-in-one/form_product_token:၅.၇.၁မေလ 30, 2026
npm@capibar.chat/ui-kit:99.5.7မေလ 30, 2026
vscodexampp-manager:၅.၁.၃မေလ 30, 2026
npm@chat-template/auth:၁.၀.၀မေလ 31, 2026
npmjson-to-simple-graphql-schema:၁.၀.၀ဇွန် 1, 2026
npm@gs-select/savings-client-application:99.0.0ဇွန် 1, 2026
npmနီမို-သတင်းထောက်: ၁.၈.၂ဇွန် 1, 2026
npmcms-github:၄.၂.၄ဇွန် 1, 2026
npmcms-helpgit:၄.၂.၈ဇွန် 1, 2026
npmcms-helpgit:၄.၂.၈ဇွန် 1, 2026
npmcms-storehub:၁.၃.၄ဇွန် 1, 2026
npmcms-storehub:၁.၃.၄ဇွန် 1, 2026
npmcms-storehub:၁.၃.၄ဇွန် 1, 2026
pypisimtooreal-cli:၀.၃.၀ဇွန် 1, 2026
npmလက်လီ-တည်နေရာ-မဟာဗျူဟာ-ရှေ့မျက်နှာစာ-၁.၁.၂ဇွန် 1, 2026
npmလက်လီ-တည်နေရာ-မဟာဗျူဟာ-ရှေ့မျက်နှာစာ-၁.၁.၂ဇွန် 1, 2026
npmconversa-sdk:၂.၀.၂ဇွန် 1, 2026
npmဗယ်လ်ထရစ်စ်:၉.၀.၁ဇွန် 1, 2026
npmဗယ်လ်ထရစ်စ်:၉.၀.၁ဇွန် 1, 2026
npmjingmeideshishi-၁.၀.၅ဇွန် 1, 2026
npmjingmeideshishi-၁.၀.၅ဇွန် 1, 2026
npm@tse-digital/core:99.0.0ဇွန် 1, 2026
npm@telenor-se/core:99.0.0ဇွန် 1, 2026
npm@ownit/core:99.0.0ဇွန် 1, 2026
npmလူနာစာရွက်စာတမ်းများ- ၇၅.၀.၀ဇွန် 1, 2026
npm@antoncallahan/aws-user-helper:၆၇၆၇.၆၇.၆၉ဇွန် 1, 2026
npm@antoncallahan/aws-user-helper:၆၇၆၇.၆၇.၆၉ဇွန် 1, 2026
npm@antoncallahan/aws-user-helper:၆၇၆၇.၆၇.၆၉ဇွန် 1, 2026
npm@antoncallahan/aws-user-helper:၆၇၆၇.၆၇.၆၉ဇွန် 1, 2026
npm@antoncallahan/aws-user-helper:၆၇၆၇.၆၇.၆၉ဇွန် 1, 2026
npm@antoncallahan/aws-user-helper:၆၇၆၇.၆၇.၆၉ဇွန် 1, 2026
npm@antoncallahan/aws-user-helper:၆၇၆၇.၆၇.၆၉ဇွန် 1, 2026
npm@emcd-vue/auth:၆.၄.၉ဇွန် 1, 2026
npm@emcd-vue/b2b-pay-form:၅.၇.၄ဇွန် 1, 2026
npm@ccrm/user-storage-api-axios:5.0.1ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 2, 2026
npmmeoo-ui-helpers:၁.၀.၁ဇွန် 2, 2026
npm@langgraphjs/toolkit:၁.၂.၁၀ဇွန် 2, 2026
npmeyevox:၉.၀.၁ဇွန် 2, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 3, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 3, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 3, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 3, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 3, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 3, 2026
npm@sentry-browser-sdk/ပရိုဖိုင်-နိုဒ်:၁.၀.၁ဇွန် 4, 2026
npm@sentry-browser-sdk/ပရိုဖိုင်-နိုဒ်:၁.၀.၁ဇွန် 4, 2026
npm@sentry-browser-sdk/ပရိုဖိုင်-နိုဒ်:၁.၀.၁ဇွန် 4, 2026
npmရန်ပုံငွေရှာဖွေရေးဝန်ဆောင်မှု-၁.၀.၀ဇွန် 4, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 4, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 4, 2026
npmvg-အပြန်အလှန်တုံ့ပြန်မှု-မော်ဒယ်:၄၀.၀.၅ဇွန် 4, 2026
npminternallib_v346:၁.၀.၃ဇွန် 4, 2026
npminternallib_v346:၁.၀.၃ဇွန် 4, 2026
npminternallib_v346:၁.၀.၃ဇွန် 4, 2026
npmai-sdk-helpers:၀.၂.၁ဇွန် 4, 2026
npmai-sdk-helpers:၀.၂.၁ဇွန် 4, 2026
npmai-sdk-helpers:၀.၂.၁ဇွန် 4, 2026
npmai-sdk-helpers:၀.၂.၁ဇွန် 4, 2026
npmai-sdk-helpers:၀.၂.၁ဇွန် 4, 2026
npmai-sdk-helpers:၀.၂.၁ဇွန် 4, 2026
npmai-sdk-helpers:၀.၂.၁ဇွန် 4, 2026
npmai-sdk-helpers:၀.၂.၁ဇွန် 4, 2026
npm@achuthvp/postinstall-poc:1.0.3ဇွန် 4, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026
npmအာရုံခံနိုင်စွမ်း: ၂.၅.၈ဇွန် 5, 2026


သင့်ရဲ့ Open Source Dependencies တွေကို Vulnerabilities တွေနဲ့ Malicious Code တွေကနေ ကာကွယ်လိုက်ပါ။

မကောင်းတဲ့ ပါဆယ်ထုပ်တွေကို သင့်ဆီ မရောက်စေနဲ့ pipelines. Xygeni Malware အစောပိုင်း ထောက်လှမ်းခြင်း သင့်အဖွဲ့အား အရေးကြီးဆုံးခြိမ်းခြောက်မှုများကို အချိန်နှင့်တပြေးညီ မြင်နိုင်စေပြီး၊ အန္တရာယ်ရှိသော dependencies များကို သင့်ဆော့ဖ်ဝဲလ်ကို မထိမီတွင် ဖမ်းယူပေးပါသည်။

ဒီအပတ်ရဲ့ အနှစ်ချုပ်က ရှင်းရှင်းလင်းလင်း ဖော်ပြထားတဲ့အတိုင်း၊ အန္တရာယ်ရှိတဲ့ package campaign တွေရဲ့ ပမာဏနဲ့ ကျွမ်းကျင်မှုက နှေးကွေးမသွားပါဘူး။ ညှိနှိုင်းထားတဲ့ version flooding၊ ငွေပေးချေမှု module impersonation နဲ့ internal sounding package name တွေဟာ တိုက်ခိုက်သူတွေ ရှောင်လွှဲဖို့ အသုံးပြုနေတဲ့ နည်းဗျူဟာတွေထဲက တချို့ပါပဲ။ standard ကာကွယ်ရေးများ။ ဤခြိမ်းခြောက်မှုများကို ရှေ့မှဦးဆောင်နေရန် ပုံမှန်စာရင်းစစ်ခြင်းထက်ပို၍ လိုအပ်ပြီး သင့်အဖွဲ့များ မှီခိုအားထားရသည့် မှတ်ပုံတင်တိုင်းတွင် စဉ်ဆက်မပြတ်စောင့်ကြည့်ခြင်း လိုအပ်ပါသည်။

ဆိုက်ဂျီနီရဲ့ Open Source Security ဖြေရှင်းချက်သည် ထုတ်ဝေသည့်အချိန်တွင်၊ npm၊ PyPI နှင့် အခြားနေရာများတွင် အန္တရာယ်ရှိသော package များကို စကင်ဖတ်ပြီး ပိတ်ဆို့ပေးသည်။ အကြီးမားဆုံးသော လက်တွေ့ကမ္ဘာအန္တရာယ်ကို ဖြစ်စေသော အားနည်းချက်များကို ဦးစားပေးခြင်းဖြင့် (နှင့် သင့် DevSecOps အဖွဲ့များအတွက် ပြုပြင်ရေးလမ်းကြောင်းကို ပိုမိုကောင်းမွန်အောင်ပြုလုပ်ခြင်းဖြင့်) Xygeni သည် ဖွံ့ဖြိုးတိုးတက်မှုကို နှောင့်နှေးခြင်းမရှိဘဲ လုံခြုံစိတ်ချရသော software ပေးပို့မှုကို ထိန်းသိမ်းရန် ကူညီပေးသည်။

sca-tools-software-composition-analysis-tools
သင့်ဆော့ဖ်ဝဲလ်အန္တရာယ်များကို ဦးစားပေးသတ်မှတ်ခြင်း၊ ပြုပြင်ခြင်းနှင့် လုံခြုံစေခြင်း
သင့်ရဲ့ အခမဲ့အကောင့်ကို ရယူလိုက်ပါ။
အကြွေးဝယ်ကဒ်မရှိပါ။

သင့်ရဲ့ Software Development နဲ့ Delivery ကို လုံခြုံအောင်ထားပါ

Xygeni ထုတ်ကုန်အစုံနှင့်အတူ