Skoraj vsak teden, naši sistemi za zaznavanje zlonamerne programske opreme pregledajo na tisoče novih in posodobljenih paketov v javnih registrih, kot sta npm in PyPI. Ta teden je bil zelo aktiven.
Potrdili smo 198 zlonamernih paketov, predvsem v npm, z dodatnimi primeri v razširitvah PyPI, OpenVSX, Composer in VS Code. Več se je pojavilo v usklajenih skupinah, s ponavljajočimi se zlonamernimi izdajami, objavljenimi pod istimi imeni ali v tesno povezanih družinah paketov. Izstopajoč primer je bil sensivity paket, ki je npm preplavil z več kot 60 različicami v razponu 2.5.x. Druge pomembne skupine so vključevale ai-sdk-helpers (8 različic, namenjenih razvijalcem umetne inteligence), @antoncallahan/aws-user-helper (7 različic, ki se izdajajo za pripomoček AWS), @apple-pay-trust in @google-pay-trust družine (posnemajo module za plačilo in blagajno), @frengki0707/google-cloud-clone (5 različic, ki ponarejajo Google Cloud) in cms-storehub, cms-helpgitin cms-github (ciljanje na CMS pipelines). Številni paketi so posnemali module za plačilo in blagajno, enterprise in interne spletne pakete, odjemalce za analitiko, temelje uporabniškega vmesnika, pripomočke za razvijalce, raziskovalce komponent, pakete v oblaku in Googlovi tematiki ter druge module, ki jim sodobni razvojni delovni procesi pogosto zaupajo.
To niso bile osamljene anomalije. Kar je ta teden izstopalo, je bil obseg ponavljajočega se objavljanja v istih družinah paketov, ponovna uporaba vzorcev poimenovanja in način, kako so bili zlonamerni paketi prikriti, da so bili videti kot legitimne odvisnosti znotraj dejanske programske opreme. pipelines.
Ta tedenski pregled je del našega tekočega pregleda zlonamerne kode, kjer preverjamo nove grožnje in zagotavljamo uporabne informacije, ki pomagajo ekipam DevSecOps zaščititi svoje pipelinepreden pride do škode.
Pa si poglejmo, kaj smo ugotovili ta teden in zakaj je to pomembno.
| Ekosistem | paket | Datum |
|---|---|---|
| npm | @cloudplatform-single-spa/administracija:99.99.100 | Maj 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Maj 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Maj 30, 2026 |
| npm | @enostaven-vstop/pristajalne-poti:99.9.5 | Maj 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | Maj 30, 2026 |
| npm | @easy-entry/poti:99.9.5 | Maj 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Maj 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Maj 30, 2026 |
| vscode | xampp-manager:5.1.3 | Maj 30, 2026 |
| npm | @predloga-klepeta/avtorizacija:1.0.0 | Maj 31, 2026 |
| npm | json-v-preprost-graphql-shema:1.0.0 | Junij 1, 2026 |
| npm | @gs-select/aplikacija-za-varčevalne-odjemalce:99.0.0 | Junij 1, 2026 |
| npm | nemo-poročevalec:1.8.2 | Junij 1, 2026 |
| npm | cms-github:4.2.4 | Junij 1, 2026 |
| npm | cms-helpgit:4.2.6 | Junij 1, 2026 |
| npm | cms-helpgit:4.2.8 | Junij 1, 2026 |
| npm | cms-storehub:1.3.4 | Junij 1, 2026 |
| npm | cms-storehub:1.3.5 | Junij 1, 2026 |
| npm | cms-storehub:1.3.6 | Junij 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Junij 1, 2026 |
| npm | strategija-lokacije-v-maloprodaji-frontend:1.1.1 | Junij 1, 2026 |
| npm | strategija-lokacije-v-maloprodaji-frontend:1.1.2 | Junij 1, 2026 |
| npm | conversa-sdk:2.0.2 | Junij 1, 2026 |
| npm | veltrix:9.0.0 | Junij 1, 2026 |
| npm | veltrix:9.0.1 | Junij 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Junij 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Junij 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Junij 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Junij 1, 2026 |
| npm | @ownit/core:99.0.0 | Junij 1, 2026 |
| npm | dokumenti pacientov: 75.0.0 | Junij 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Junij 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Junij 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Junij 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Junij 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Junij 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Junij 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Junij 1, 2026 |
| npm | @emcd-vue/avt:6.4.9 | Junij 1, 2026 |
| npm | @emcd-vue/b2b-plačilni-obrazec:5.7.4 | Junij 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Junij 2, 2026 |
| npm | občutljivost: 2.5.8 | Junij 2, 2026 |
| npm | občutljivost: 2.5.12 | Junij 2, 2026 |
| npm | občutljivost: 2.5.16 | Junij 2, 2026 |
| npm | občutljivost: 2.5.17 | Junij 2, 2026 |
| npm | občutljivost: 2.5.18 | Junij 2, 2026 |
| npm | občutljivost: 2.5.19 | Junij 2, 2026 |
| npm | občutljivost: 2.5.20 | Junij 2, 2026 |
| npm | občutljivost: 2.5.21 | Junij 2, 2026 |
| npm | občutljivost: 2.5.22 | Junij 2, 2026 |
| npm | občutljivost: 2.5.23 | Junij 2, 2026 |
| npm | občutljivost: 2.5.24 | Junij 2, 2026 |
| npm | občutljivost: 2.5.25 | Junij 2, 2026 |
| npm | občutljivost: 2.5.26 | Junij 2, 2026 |
| npm | občutljivost: 2.5.27 | Junij 2, 2026 |
| npm | občutljivost: 2.5.28 | Junij 2, 2026 |
| npm | občutljivost: 2.5.29 | Junij 2, 2026 |
| npm | občutljivost: 2.5.30 | Junij 2, 2026 |
| npm | občutljivost: 2.5.31 | Junij 2, 2026 |
| npm | občutljivost: 2.5.32 | Junij 2, 2026 |
| npm | občutljivost: 2.5.41 | Junij 2, 2026 |
| npm | občutljivost: 2.5.42 | Junij 2, 2026 |
| npm | občutljivost: 2.5.43 | Junij 2, 2026 |
| npm | občutljivost: 2.5.44 | Junij 2, 2026 |
| npm | občutljivost: 2.5.45 | Junij 2, 2026 |
| npm | občutljivost: 2.5.46 | Junij 2, 2026 |
| npm | meoo-ui-pomočniki:1.0.1 | Junij 2, 2026 |
| npm | @langgraphjs/orodjarnica:1.2.10 | Junij 2, 2026 |
| npm | eyevox:9.0.1 | Junij 2, 2026 |
| npm | občutljivost: 2.5.53 | Junij 3, 2026 |
| npm | občutljivost: 2.5.54 | Junij 3, 2026 |
| npm | občutljivost: 2.5.55 | Junij 3, 2026 |
| npm | občutljivost: 2.5.56 | Junij 3, 2026 |
| npm | občutljivost: 2.5.57 | Junij 3, 2026 |
| npm | občutljivost: 2.5.61 | Junij 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Junij 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Junij 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Junij 4, 2026 |
| npm | storitev zbiranja sredstev: 1.0.0 | Junij 4, 2026 |
| npm | občutljivost: 2.5.67 | Junij 4, 2026 |
| npm | občutljivost: 2.5.68 | Junij 4, 2026 |
| npm | vg-interakcijski-model:40.0.5 | Junij 4, 2026 |
| npm | internallib_v346:1.0.3 | Junij 4, 2026 |
| npm | internallib_v346:1.0.5 | Junij 4, 2026 |
| npm | internallib_v346:1.0.9 | Junij 4, 2026 |
| npm | ai-sdk-pomočniki:0.2.1 | Junij 4, 2026 |
| npm | ai-sdk-pomočniki:0.3.0 | Junij 4, 2026 |
| npm | ai-sdk-pomočniki:0.3.1 | Junij 4, 2026 |
| npm | ai-sdk-pomočniki:1.1.0 | Junij 4, 2026 |
| npm | ai-sdk-pomočniki:1.1.1 | Junij 4, 2026 |
| npm | ai-sdk-pomočniki:1.3.0 | Junij 4, 2026 |
| npm | ai-sdk-pomočniki:1.4.0 | Junij 4, 2026 |
| npm | ai-sdk-pomočniki:1.4.2 | Junij 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Junij 4, 2026 |
| npm | občutljivost: 2.5.0 | Junij 5, 2026 |
| npm | občutljivost: 2.5.1 | Junij 5, 2026 |
| npm | občutljivost: 2.5.2 | Junij 5, 2026 |
| npm | občutljivost: 2.5.3 | Junij 5, 2026 |
| npm | občutljivost: 2.5.4 | Junij 5, 2026 |
| npm | občutljivost: 2.5.5 | Junij 5, 2026 |
| npm | občutljivost: 2.5.13 | Junij 5, 2026 |
| npm | občutljivost: 2.5.14 | Junij 5, 2026 |
| npm | občutljivost: 2.5.15 | Junij 5, 2026 |
| npm | občutljivost: 2.5.33 | Junij 5, 2026 |
| npm | občutljivost: 2.5.34 | Junij 5, 2026 |
| npm | občutljivost: 2.5.35 | Junij 5, 2026 |
| npm | občutljivost: 2.5.36 | Junij 5, 2026 |
| npm | občutljivost: 2.5.37 | Junij 5, 2026 |
| npm | občutljivost: 2.5.38 | Junij 5, 2026 |
| npm | občutljivost: 2.5.58 | Junij 5, 2026 |
| npm | občutljivost: 2.5.59 | Junij 5, 2026 |
| npm | občutljivost: 2.5.60 | Junij 5, 2026 |
| npm | občutljivost: 2.5.62 | Junij 5, 2026 |
| npm | občutljivost: 2.5.63 | Junij 5, 2026 |
| npm | občutljivost: 2.5.64 | Junij 5, 2026 |
| npm | občutljivost: 2.5.65 | Junij 5, 2026 |
| npm | občutljivost: 2.5.66 | Junij 5, 2026 |
| npm | občutljivost: 2.5.69 | Junij 5, 2026 |
Zaščitite svoje odvisnosti od odprte kode pred ranljivostmi in zlonamerno kodo
Ne dovolite, da zlonamerni paketi dosežejo vaš pipelines. Zgodnje odkrivanje zlonamerne programske opreme Xygeni vaši ekipi omogoča vpogled v najpomembnejše grožnje v realnem času in odkriva škodljive odvisnosti, še preden se dotaknejo vaše programske opreme.
Kot je razvidno iz povzetka tega tedna, se obseg in prefinjenost zlonamernih paketnih kampanj ne zmanjšujeta. Koordinirano prelivanje različic, lažno predstavljanje plačilnih modulov in imena paketov, ki zvenejo po internih imenih, so le nekatere od taktik, ki jih napadalci uporabljajo za prehajanje. standard obrambo. Da bi bili korak pred temi grožnjami, je potrebno več kot le občasni pregledi, temveč tudi nenehno spremljanje vseh registrov, od katerih so vaše ekipe odvisne.
Xygeni's Open Source Security Rešitev skenira in blokira škodljive pakete na mestu objave, v npm, PyPI in drugod. Z kontekstualnim določanjem prioritet ranljivosti, ki predstavljajo največje tveganje v resničnem svetu (in poenostavitvijo poti sanacije za vaše ekipe DevSecOps), vam Xygeni pomaga ohranjati varno in zanesljivo dobavo programske opreme, ne da bi pri tem upočasnil razvoj.




