Nesten hver uke, våre systemer for skadelig programvare-deteksjon skanner tusenvis av nye og oppdaterte pakker på tvers av offentlige registre som npm og PyPI. Denne uken var veldig aktiv.
Vi bekreftet 198 XNUMX ondsinnede pakker, hovedsakelig på tvers av npm, med ytterligere tilfeller i PyPI, OpenVSX, Composer og VS Code-utvidelser. Flere dukket opp i koordinerte klynger, med gjentatte skadelige utgivelser publisert under samme navn eller på tvers av nært beslektede pakkefamilier. Et spesielt tilfelle var sensivity pakken, som oversvømmet npm med over 60 versjonerte utgivelser i 2.5.x-serien. Andre bemerkelsesverdige klynger inkluderte ai-sdk-helpers (8 versjoner rettet mot AI-utviklere), @antoncallahan/aws-user-helper (7 versjoner som utgir seg for å være et AWS-verktøy), @apple-pay-trust og @google-pay-trust familier (etterligner betalingsmoduler), @frengki0707/google-cloud-clone (5 versjoner som forfalsker Google Cloud), og cms-storehub, cms-helpgitog cms-github (målrettet mot CMS pipelines). Mange pakker etterlignet betalings- og kassemoduler, enterprise og interne nettpakker, analyseklienter, UI-fundamenter, utviklerverktøy, komponentutforskere, sky- og Google-temapakker og andre moduler som ofte er klarert i moderne utviklingsarbeidsflyter.
Dette var ikke isolerte avvik. Det som skilte seg ut denne uken var omfanget av gjentatt publisering på tvers av de samme pakkefamiliene, gjenbruk av navnemønstre og måten ondsinnede pakker ble kamuflert for å se ut som legitime avhengigheter i ekte programvarelevering. pipelines.
Dette ukentlige øyeblikksbildet er en del av vår pågående oversikt over skadelig kode, hvor vi validerer nye trusler og gir handlingsrettet informasjon for å hjelpe DevSecOps-team med å beskytte sine pipelines før skaden oppstår.
La oss se på hva vi fant ut denne uken og hvorfor det er viktig.
| Økosystem | Pakke | Dato |
|---|---|---|
| NPM | @cloudplatform-single-spa/administrasjon:99.99.100 | Kan 30, 2026 |
| NPM | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Kan 30, 2026 |
| NPM | @maximvs1538/os-npm:99.0.0 | Kan 30, 2026 |
| NPM | @enkle-innreise/landingsruter:99.9.5 | Kan 30, 2026 |
| NPM | @easy-entry/utenfor-registrering-fop-navigator:99.9.5 | Kan 30, 2026 |
| NPM | @lett-inngang/ruter:99.9.5 | Kan 30, 2026 |
| NPM | @t-in-one/skjema_produkt_token:5.7.1 | Kan 30, 2026 |
| NPM | @capibar.chat/ui-kit:99.5.7 | Kan 30, 2026 |
| vscode | xampp-manager:5.1.3 | Kan 30, 2026 |
| NPM | @chat-mal/aut:1.0.0 | Kan 31, 2026 |
| NPM | json-til-simple-graphql-skjema:1.0.0 | Juni 1, 2026 |
| NPM | @gs-select/spareklientapplikasjon:99.0.0 | Juni 1, 2026 |
| NPM | nemo-reporter:1.8.2 | Juni 1, 2026 |
| NPM | cms-github:4.2.4 | Juni 1, 2026 |
| NPM | cms-hjelpegit:4.2.6 | Juni 1, 2026 |
| NPM | cms-hjelpegit:4.2.8 | Juni 1, 2026 |
| NPM | cms-storehub:1.3.4 | Juni 1, 2026 |
| NPM | cms-storehub:1.3.5 | Juni 1, 2026 |
| NPM | cms-storehub:1.3.6 | Juni 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Juni 1, 2026 |
| NPM | strategi for detaljhandelslokasjon-grensesnitt: 1.1.1 | Juni 1, 2026 |
| NPM | strategi for detaljhandelslokasjon-grensesnitt: 1.1.2 | Juni 1, 2026 |
| NPM | conversa-sdk:2.0.2 | Juni 1, 2026 |
| NPM | veltrix:9.0.0 | Juni 1, 2026 |
| NPM | veltrix:9.0.1 | Juni 1, 2026 |
| NPM | jingmeideshishi:1.0.4 | Juni 1, 2026 |
| NPM | jingmeideshishi:1.0.5 | Juni 1, 2026 |
| NPM | @tse-digital/core:99.0.0 | Juni 1, 2026 |
| NPM | @telenor-se/core:99.0.0 | Juni 1, 2026 |
| NPM | @ownit/core:99.0.0 | Juni 1, 2026 |
| NPM | pasientdokumenter: 75.0.0 | Juni 1, 2026 |
| NPM | @antoncallahan/aws-brukerhjelper:6767.67.69 | Juni 1, 2026 |
| NPM | @antoncallahan/aws-brukerhjelper:6767.67.68 | Juni 1, 2026 |
| NPM | @antoncallahan/aws-brukerhjelper:6767.67.82 | Juni 1, 2026 |
| NPM | @antoncallahan/aws-brukerhjelper:6767.67.80 | Juni 1, 2026 |
| NPM | @antoncallahan/aws-brukerhjelper:6767.67.81 | Juni 1, 2026 |
| NPM | @antoncallahan/aws-brukerhjelper:6767.67.83 | Juni 1, 2026 |
| NPM | @antoncallahan/aws-brukerhjelper:6767.67.3 | Juni 1, 2026 |
| NPM | @emcd-vue/auth:6.4.9 | Juni 1, 2026 |
| NPM | @emcd-vue/b2b-betalingsskjema:5.7.4 | Juni 1, 2026 |
| NPM | @ccrm/user-storage-api-axios:5.0.1 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.8 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.12 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.16 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.17 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.18 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.19 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.20 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.21 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.22 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.23 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.24 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.25 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.26 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.27 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.28 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.29 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.30 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.31 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.32 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.41 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.42 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.43 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.44 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.45 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.46 | Juni 2, 2026 |
| NPM | meoo-ui-hjelpere:1.0.1 | Juni 2, 2026 |
| NPM | @langgraphjs/verktøysett:1.2.10 | Juni 2, 2026 |
| NPM | eyevox:9.0.1 | Juni 2, 2026 |
| NPM | følsomhet: 2.5.53 | Juni 3, 2026 |
| NPM | følsomhet: 2.5.54 | Juni 3, 2026 |
| NPM | følsomhet: 2.5.55 | Juni 3, 2026 |
| NPM | følsomhet: 2.5.56 | Juni 3, 2026 |
| NPM | følsomhet: 2.5.57 | Juni 3, 2026 |
| NPM | følsomhet: 2.5.61 | Juni 3, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.1 | Juni 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.2 | Juni 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.5 | Juni 4, 2026 |
| NPM | innsamlingstjeneste:1.0.0 | Juni 4, 2026 |
| NPM | følsomhet: 2.5.67 | Juni 4, 2026 |
| NPM | følsomhet: 2.5.68 | Juni 4, 2026 |
| NPM | vg-interaksjonsmodell:40.0.5 | Juni 4, 2026 |
| NPM | internallib_v346:1.0.3 | Juni 4, 2026 |
| NPM | internallib_v346:1.0.5 | Juni 4, 2026 |
| NPM | internallib_v346:1.0.9 | Juni 4, 2026 |
| NPM | ai-sdk-hjelpere:0.2.1 | Juni 4, 2026 |
| NPM | ai-sdk-hjelpere:0.3.0 | Juni 4, 2026 |
| NPM | ai-sdk-hjelpere:0.3.1 | Juni 4, 2026 |
| NPM | ai-sdk-hjelpere:1.1.0 | Juni 4, 2026 |
| NPM | ai-sdk-hjelpere:1.1.1 | Juni 4, 2026 |
| NPM | ai-sdk-hjelpere:1.3.0 | Juni 4, 2026 |
| NPM | ai-sdk-hjelpere:1.4.0 | Juni 4, 2026 |
| NPM | ai-sdk-hjelpere:1.4.2 | Juni 4, 2026 |
| NPM | @achuthvp/postinstall-poc:1.0.3 | Juni 4, 2026 |
| NPM | følsomhet: 2.5.0 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.1 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.2 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.3 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.4 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.5 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.13 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.14 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.15 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.33 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.34 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.35 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.36 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.37 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.38 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.58 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.59 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.60 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.62 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.63 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.64 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.65 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.66 | Juni 5, 2026 |
| NPM | følsomhet: 2.5.69 | Juni 5, 2026 |
Sikre dine avhengigheter med åpen kildekode mot sårbarheter og skadelig kode
Ikke la skadelige pakker nå deg pipelines. Xygeni tidlig oppdagelse av skadelig programvare gir teamet ditt sanntidsinnsikt i de viktigste truslene, og fanger opp skadelige avhengigheter før de i det hele tatt berører programvaren din.
Som denne ukens sammendrag tydelig viser, avtar ikke volumet og raffinementet av ondsinnede pakkekampanjer. Koordinert versjonsoversvømmelse, betalingsmodul-etterligning og internt klingende pakkenavn er bare noen av taktikkene angripere bruker for å snike seg forbi. standard forsvar. Å ligge i forkant av disse truslene krever mer enn periodiske revisjoner, det krever kontinuerlig overvåking på tvers av alle registerene teamene dine er avhengige av.
Xygenis Open Source Security Løsningen skanner og blokkerer skadelige pakker ved publiseringstidspunktet, på tvers av npm, PyPI og utover. Ved å kontekstuelt prioritere sårbarhetene som utgjør den største risikoen i den virkelige verden (og effektivisere utbedringsprosessen for DevSecOps-teamene dine), hjelper Xygeni deg med å opprettholde sikker og pålitelig programvarelevering uten å bremse utviklingen.




