Prawie co tydzieńNasze systemy wykrywania złośliwego oprogramowania skanują tysiące nowych i zaktualizowanych pakietów w rejestrach publicznych, takich jak npm i PyPI. Ten tydzień był bardzo aktywny.
Potwierdziliśmy 198 XNUMX złośliwych pakietów, głównie w npm, z dodatkowymi przypadkami w rozszerzeniach PyPI, OpenVSX, Composer i VS Code. Kilka z nich pojawiło się w skoordynowanych klastrach, z powtarzającymi się złośliwymi wydaniami publikowanymi pod tymi samymi nazwami lub w blisko spokrewnionych rodzinach pakietów. Wyróżniającym się przypadkiem był sensivity pakiet, który zalał npm ponad 60 wersjami w zakresie 2.5.x. Inne godne uwagi klastry obejmowały ai-sdk-helpers (8 wersji skierowanych do programistów AI), @antoncallahan/aws-user-helper (7 wersji podszywających się pod narzędzie AWS), @apple-pay-trust oraz @google-pay-trust rodziny (naśladując moduły płatności), @frengki0707/google-cloud-clone (5 wersji podszywających się pod Google Cloud) i cms-storehub, cms-helpgit, cms-github (celujący w CMS pipelines). Wiele pakietów imitowało moduły płatności i realizacji transakcji, enterprise oraz wewnętrzne pakiety internetowe, klienci analityczni, podstawy interfejsu użytkownika, narzędzia dla programistów, eksploratory komponentów, pakiety o tematyce chmurowej i Google oraz inne moduły powszechnie zaufane w nowoczesnych procesach prac programistycznych.
Nie były to odosobnione anomalie. W tym tygodniu szczególnie rzucała się w oczy skala wielokrotnego publikowania w obrębie tych samych rodzin pakietów, ponowne wykorzystywanie wzorców nazewnictwa oraz sposób, w jaki złośliwe pakiety były maskowane, by wyglądały na legalne zależności w ramach rzeczywistego oprogramowania. pipelines.
Ten cotygodniowy przegląd jest częścią naszego bieżącego przeglądu złośliwego kodu, w ramach którego weryfikujemy nowe zagrożenia i dostarczamy przydatne informacje, które pomogą zespołom DevSecOps chronić swoje pipelinezanim dojdzie do uszkodzenia.
Przyjrzyjmy się bliżej temu, co odkryliśmy w tym tygodniu i dlaczego jest to ważne.
| ekosystem | Pakiet | Data |
|---|---|---|
| Npm | @cloudplatform-single-spa/administration:99.99.100 | 30 Maj 2026 |
| Npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 Maj 2026 |
| Npm | @maximvs1538/os-npm:99.0.0 | 30 Maj 2026 |
| Npm | @easy-entry/landing-routes:99.9.5 | 30 Maj 2026 |
| Npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30 Maj 2026 |
| Npm | @easy-entry/routes:99.9.5 | 30 Maj 2026 |
| Npm | @t-in-one/form_product_token:5.7.1 | 30 Maj 2026 |
| Npm | @capibar.chat/ui-kit:99.5.7 | 30 Maj 2026 |
| vskod | xampp-manager:5.1.3 | 30 Maj 2026 |
| Npm | @chat-template/auth:1.0.0 | 31 Maj 2026 |
| Npm | json-to-simple-graphql-schema:1.0.0 | Czerwiec 1, 2026 |
| Npm | @gs-select/savings-client-application:99.0.0 | Czerwiec 1, 2026 |
| Npm | nemo-reporter:1.8.2 | Czerwiec 1, 2026 |
| Npm | cms-github:4.2.4 | Czerwiec 1, 2026 |
| Npm | cms-helpgit:4.2.6 | Czerwiec 1, 2026 |
| Npm | cms-helpgit:4.2.8 | Czerwiec 1, 2026 |
| Npm | cms-storehub:1.3.4 | Czerwiec 1, 2026 |
| Npm | cms-storehub:1.3.5 | Czerwiec 1, 2026 |
| Npm | cms-storehub:1.3.6 | Czerwiec 1, 2026 |
| pipi | simtooreal-cli:0.3.0 | Czerwiec 1, 2026 |
| Npm | strategia-lokalizacji-detalicznej-frontend:1.1.1 | Czerwiec 1, 2026 |
| Npm | strategia-lokalizacji-detalicznej-frontend:1.1.2 | Czerwiec 1, 2026 |
| Npm | conversa-sdk:2.0.2 | Czerwiec 1, 2026 |
| Npm | veltrix:9.0.0 | Czerwiec 1, 2026 |
| Npm | veltrix:9.0.1 | Czerwiec 1, 2026 |
| Npm | jingmeideshishi:1.0.4 | Czerwiec 1, 2026 |
| Npm | jingmeideshishi:1.0.5 | Czerwiec 1, 2026 |
| Npm | @tse-digital/core:99.0.0 | Czerwiec 1, 2026 |
| Npm | @telenor-se/core:99.0.0 | Czerwiec 1, 2026 |
| Npm | @ownit/core:99.0.0 | Czerwiec 1, 2026 |
| Npm | dokumenty pacjenta:75.0.0 | Czerwiec 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.69 | Czerwiec 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.68 | Czerwiec 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.82 | Czerwiec 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.80 | Czerwiec 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.81 | Czerwiec 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.83 | Czerwiec 1, 2026 |
| Npm | @antoncallahan/aws-user-helper:6767.67.3 | Czerwiec 1, 2026 |
| Npm | @emcd-vue/auth:6.4.9 | Czerwiec 1, 2026 |
| Npm | @emcd-vue/formularz-płatności-b2b:5.7.4 | Czerwiec 1, 2026 |
| Npm | @ccrm/user-storage-api-axios:5.0.1 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.8 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.12 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.16 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.17 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.18 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.19 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.20 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.21 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.22 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.23 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.24 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.25 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.26 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.27 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.28 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.29 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.30 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.31 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.32 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.41 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.42 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.43 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.44 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.45 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.46 | Czerwiec 2, 2026 |
| Npm | meoo-ui-helpers:1.0.1 | Czerwiec 2, 2026 |
| Npm | @langgraphjs/toolkit:1.2.10 | Czerwiec 2, 2026 |
| Npm | eyevox:9.0.1 | Czerwiec 2, 2026 |
| Npm | czułość: 2.5.53 | Czerwiec 3, 2026 |
| Npm | czułość: 2.5.54 | Czerwiec 3, 2026 |
| Npm | czułość: 2.5.55 | Czerwiec 3, 2026 |
| Npm | czułość: 2.5.56 | Czerwiec 3, 2026 |
| Npm | czułość: 2.5.57 | Czerwiec 3, 2026 |
| Npm | czułość: 2.5.61 | Czerwiec 3, 2026 |
| Npm | @sentry-browser-sdk/profiling-node:1.0.1 | Czerwiec 4, 2026 |
| Npm | @sentry-browser-sdk/profiling-node:1.0.2 | Czerwiec 4, 2026 |
| Npm | @sentry-browser-sdk/profiling-node:1.0.5 | Czerwiec 4, 2026 |
| Npm | serwer zbiórki funduszy:1.0.0 | Czerwiec 4, 2026 |
| Npm | czułość: 2.5.67 | Czerwiec 4, 2026 |
| Npm | czułość: 2.5.68 | Czerwiec 4, 2026 |
| Npm | vg-interaction-model:40.0.5 | Czerwiec 4, 2026 |
| Npm | internallib_v346:1.0.3 | Czerwiec 4, 2026 |
| Npm | internallib_v346:1.0.5 | Czerwiec 4, 2026 |
| Npm | internallib_v346:1.0.9 | Czerwiec 4, 2026 |
| Npm | ai-sdk-helpers:0.2.1 | Czerwiec 4, 2026 |
| Npm | ai-sdk-helpers:0.3.0 | Czerwiec 4, 2026 |
| Npm | ai-sdk-helpers:0.3.1 | Czerwiec 4, 2026 |
| Npm | ai-sdk-helpers:1.1.0 | Czerwiec 4, 2026 |
| Npm | ai-sdk-helpers:1.1.1 | Czerwiec 4, 2026 |
| Npm | ai-sdk-helpers:1.3.0 | Czerwiec 4, 2026 |
| Npm | ai-sdk-helpers:1.4.0 | Czerwiec 4, 2026 |
| Npm | ai-sdk-helpers:1.4.2 | Czerwiec 4, 2026 |
| Npm | @achuthvp/postinstall-poc:1.0.3 | Czerwiec 4, 2026 |
| Npm | czułość: 2.5.0 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.1 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.2 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.3 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.4 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.5 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.13 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.14 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.15 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.33 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.34 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.35 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.36 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.37 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.38 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.58 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.59 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.60 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.62 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.63 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.64 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.65 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.66 | Czerwiec 5, 2026 |
| Npm | czułość: 2.5.69 | Czerwiec 5, 2026 |
Zabezpiecz swoje zależności Open Source przed lukami w zabezpieczeniach i złośliwym kodem
Nie pozwól, aby złośliwe pakiety dotarły do Ciebie pipelines. Wczesne wykrywanie złośliwego oprogramowania Xygeni zapewnia Twojemu zespołowi wgląd w czasie rzeczywistym w najważniejsze zagrożenia, wykrywając szkodliwe zależności zanim dotkną one Twojego oprogramowania.
Jak jasno wynika z tegorocznego podsumowania, skala i wyrafinowanie kampanii złośliwego oprogramowania nie maleją. Skoordynowane rozsyłanie wersji, podszywanie się pod moduły płatności i naśladowanie nazw pakietów to tylko niektóre z taktyk stosowanych przez atakujących, aby się przedostać. standard Obrona. Aby wyprzedzić te zagrożenia, potrzeba czegoś więcej niż okresowych audytów. Wymaga to ciągłego monitorowania każdego rejestru, od którego zależą Twoje zespoły.
Xygeni'ego Open Source Security Rozwiązanie skanuje i blokuje szkodliwe pakiety w momencie publikacji, w środowiskach npm, PyPI i innych. Poprzez kontekstowe priorytetyzowanie luk w zabezpieczeniach, które stanowią największe ryzyko w świecie rzeczywistym (i usprawnianie ścieżki naprawczej dla zespołów DevSecOps), Xygeni pomaga utrzymać bezpieczne i niezawodne dostarczanie oprogramowania bez spowalniania rozwoju.




