Pothuajse çdo javë, sistemet tona të zbulimit të programeve keqdashëse skanojnë mijëra paketa të reja dhe të përditësuara në regjistrat publikë si npm dhe PyPI. Kjo javë ishte shumë aktive.
Ne konfirmuam 198 paketa dashakeqe, kryesisht në npm, me raste shtesë në shtesat PyPI, OpenVSX, Composer dhe VS Code. Disa u shfaqën në grupe të koordinuara, me lëshime të përsëritura keqdashëse të publikuara nën të njëjtat emra ose në familje paketash të lidhura ngushtë. Një rast i spikatur ishte sensivity paketë, e cila e përmbyti npm me mbi 60 lëshime të versionuara në gamën 2.5.x. Grumbuj të tjerë të rëndësishëm përfshinin ai-sdk-helpers (8 versione që synojnë zhvilluesit e inteligjencës artificiale), @antoncallahan/aws-user-helper (7 versione që imitojnë një program të AWS), @apple-pay-trust @google-pay-trust familje (duke imituar modulet e arkëtimit të pagesave), @frengki0707/google-cloud-clone (5 versione që falsifikojnë Google Cloud), dhe cms-storehub, cms-helpgitdhe cms-github (CMS që synon pipelines). Shumë paketa imituan modulet e pagesës dhe të arkëtimit, enterprise dhe paketa të brendshme web, klientë analitikë, themele të UI-t, shërbime për zhvilluesit, eksplorues të komponentëve, paketa me tematikë cloud dhe Google, si dhe module të tjera të besueshme në rrjedhat moderne të punës së zhvillimit.
Këto nuk ishin anomali të izoluara. Ajo që spikati këtë javë ishte shkalla e publikimit të përsëritur në të njëjtat familje paketash, ripërdorimi i modeleve të emërtimit dhe mënyra se si paketat keqdashëse u maskuan për t'u dukur si varësi legjitime brenda ofrimit të softuerëve të vërtetë. pipelines.
Kjo përmbledhje javore është pjesë e përmbledhjes sonë të vazhdueshme të kodit keqdashës, ku ne vërtetojmë kërcënimet e reja dhe ofrojmë inteligjencë të zbatueshme për të ndihmuar ekipet DevSecOps të mbrojnë të tyret. pipelines para se të ndodhë dëmtimi.
Le të analizojmë çfarë gjetëm këtë javë dhe pse ka rëndësi.
| ekosistemit | paketë | data |
|---|---|---|
| NPM | @cloudplatform-single-spa/administration:99.99.100 | Mund 30, 2026 |
| NPM | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Mund 30, 2026 |
| NPM | @maximvs1538/os-npm:99.0.0 | Mund 30, 2026 |
| NPM | @easy-entry/landing-routes:99.9.5 | Mund 30, 2026 |
| NPM | @easy-entry/outside-registration-fop-navigator:99.9.5 | Mund 30, 2026 |
| NPM | @easy-entry/routes:99.9.5 | Mund 30, 2026 |
| NPM | @t-në-një/form_product_token:5.7.1 | Mund 30, 2026 |
| NPM | @capibar.chat/ui-kit:99.5.7 | Mund 30, 2026 |
| vscode | menaxheri-xampp:5.1.3 | Mund 30, 2026 |
| NPM | @chat-template/auth:1.0.0 | Mund 31, 2026 |
| NPM | json-to-simple-graphql-schema:1.0.0 | Qershor 1, 2026 |
| NPM | @gs-select/savings-client-application:99.0.0 | Qershor 1, 2026 |
| NPM | nemo-reporter:1.8.2 | Qershor 1, 2026 |
| NPM | cms-github:4.2.4 | Qershor 1, 2026 |
| NPM | cms-helpgit:4.2.6 | Qershor 1, 2026 |
| NPM | cms-helpgit:4.2.8 | Qershor 1, 2026 |
| NPM | cms-storehub:1.3.4 | Qershor 1, 2026 |
| NPM | cms-storehub:1.3.5 | Qershor 1, 2026 |
| NPM | cms-storehub:1.3.6 | Qershor 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Qershor 1, 2026 |
| NPM | strategjia-e-vendndodhjes-së-shitjeve-me-pakicë-frontend:1.1.1 | Qershor 1, 2026 |
| NPM | strategjia-e-vendndodhjes-së-shitjeve-me-pakicë-frontend:1.1.2 | Qershor 1, 2026 |
| NPM | conversa-sdk:2.0.2 | Qershor 1, 2026 |
| NPM | veltrix:9.0.0 | Qershor 1, 2026 |
| NPM | veltrix:9.0.1 | Qershor 1, 2026 |
| NPM | jingmeideshishi: 1.0.4 | Qershor 1, 2026 |
| NPM | jingmeideshishi: 1.0.5 | Qershor 1, 2026 |
| NPM | @tse-digital/core:99.0.0 | Qershor 1, 2026 |
| NPM | @telenor-se/core:99.0.0 | Qershor 1, 2026 |
| NPM | @ownit/core:99.0.0 | Qershor 1, 2026 |
| NPM | dokumentet e pacientit: 75.0.0 | Qershor 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.69 | Qershor 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.68 | Qershor 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.82 | Qershor 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.80 | Qershor 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.81 | Qershor 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.83 | Qershor 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.3 | Qershor 1, 2026 |
| NPM | @emcd-vue/auth:6.4.9 | Qershor 1, 2026 |
| NPM | @emcd-vue/b2b-page-form:5.7.4 | Qershor 1, 2026 |
| NPM | @ccrm/user-storage-api-axios:5.0.1 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.8 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.12 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.16 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.17 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.18 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.19 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.20 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.21 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.22 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.23 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.24 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.25 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.26 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.27 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.28 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.29 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.30 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.31 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.32 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.41 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.42 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.43 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.44 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.45 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.46 | Qershor 2, 2026 |
| NPM | ndihmësit-meoo-ui:1.0.1 | Qershor 2, 2026 |
| NPM | @langgraphjs/toolkit:1.2.10 | Qershor 2, 2026 |
| NPM | eyevox:9.0.1 | Qershor 2, 2026 |
| NPM | ndjeshmëria: 2.5.53 | Qershor 3, 2026 |
| NPM | ndjeshmëria: 2.5.54 | Qershor 3, 2026 |
| NPM | ndjeshmëria: 2.5.55 | Qershor 3, 2026 |
| NPM | ndjeshmëria: 2.5.56 | Qershor 3, 2026 |
| NPM | ndjeshmëria: 2.5.57 | Qershor 3, 2026 |
| NPM | ndjeshmëria: 2.5.61 | Qershor 3, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.1 | Qershor 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.2 | Qershor 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.5 | Qershor 4, 2026 |
| NPM | shërbimi i mbledhjes së fondeve: 1.0.0 | Qershor 4, 2026 |
| NPM | ndjeshmëria: 2.5.67 | Qershor 4, 2026 |
| NPM | ndjeshmëria: 2.5.68 | Qershor 4, 2026 |
| NPM | modeli-i-ndërveprimit-vg:40.0.5 | Qershor 4, 2026 |
| NPM | internallib_v346:1.0.3 | Qershor 4, 2026 |
| NPM | internallib_v346:1.0.5 | Qershor 4, 2026 |
| NPM | internallib_v346:1.0.9 | Qershor 4, 2026 |
| NPM | ndihmësit-e-sdk-së: 0.2.1 | Qershor 4, 2026 |
| NPM | ndihmësit-e-sdk-së: 0.3.0 | Qershor 4, 2026 |
| NPM | ndihmësit-e-sdk-së: 0.3.1 | Qershor 4, 2026 |
| NPM | ndihmësit-e-sdk-së: 1.1.0 | Qershor 4, 2026 |
| NPM | ndihmësit-e-sdk-së: 1.1.1 | Qershor 4, 2026 |
| NPM | ndihmësit-e-sdk-së: 1.3.0 | Qershor 4, 2026 |
| NPM | ndihmësit-e-sdk-së: 1.4.0 | Qershor 4, 2026 |
| NPM | ndihmësit-e-sdk-së: 1.4.2 | Qershor 4, 2026 |
| NPM | @achuthvp/postinstall-poc:1.0.3 | Qershor 4, 2026 |
| NPM | ndjeshmëria: 2.5.0 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.1 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.2 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.3 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.4 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.5 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.13 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.14 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.15 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.33 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.34 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.35 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.36 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.37 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.38 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.58 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.59 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.60 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.62 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.63 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.64 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.65 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.66 | Qershor 5, 2026 |
| NPM | ndjeshmëria: 2.5.69 | Qershor 5, 2026 |
Siguroni Varësitë tuaja me Burim të Hapur kundër Dobësive dhe Kodit Dashakeq
Mos lejoni që paketat dashakeqe të arrijnë tek ju pipelines. Zbulimi i Hershëm i Malware-it Xygeni i jep ekipit tuaj shikueshmëri në kohë reale të kërcënimeve që kanë më shumë rëndësi, duke kapur varësitë e dëmshme përpara se ato të prekin softuerin tuaj.
Siç e bën të qartë përmbledhja e kësaj jave, vëllimi dhe sofistikimi i fushatave të paketave dashakeqe nuk po ngadalësohet. Përmbytja e koordinuar e versioneve, imitimi i moduleve të pagesave dhe emrat e paketave që tingëllojnë të brendshëm janë vetëm disa nga taktikat që sulmuesit po përdorin për t'u shmangur. standard mbrojtjet. Të qëndrosh përpara këtyre kërcënimeve kërkon më shumë sesa auditime periodike, por kërkon monitorim të vazhdueshëm në çdo regjistër nga i cili varen ekipet tuaja.
Xygeni's Open Source Security Zgjidhja skanon dhe bllokon paketat e dëmshme në momentin e publikimit, në npm, PyPI dhe më gjerë. Duke i dhënë përparësi kontekstuale dobësive që paraqesin rrezikun më të madh në botën reale (dhe duke përmirësuar rrugën e korrigjimit për ekipet tuaja DevSecOps), Xygeni ju ndihmon të ruani ofrimin e sigurt dhe të besueshëm të softuerit pa ngadalësuar zhvillimin.




