Përmbledhje e Kodit të Dëmshëm 73

Përmbledhje e Kodit të Dëmshëm Xygeni 73

Pothuajse çdo javë, sistemet tona të zbulimit të programeve keqdashëse skanojnë mijëra paketa të reja dhe të përditësuara në regjistrat publikë si npm dhe PyPI. Kjo javë ishte shumë aktive.

Ne konfirmuam 198 paketa dashakeqe, kryesisht në npm, me raste shtesë në shtesat PyPI, OpenVSX, Composer dhe VS Code. Disa u shfaqën në grupe të koordinuara, me lëshime të përsëritura keqdashëse të publikuara nën të njëjtat emra ose në familje paketash të lidhura ngushtë. Një rast i spikatur ishte sensivity paketë, e cila e përmbyti npm me mbi 60 lëshime të versionuara në gamën 2.5.x. Grumbuj të tjerë të rëndësishëm përfshinin ai-sdk-helpers (8 versione që synojnë zhvilluesit e inteligjencës artificiale), @antoncallahan/aws-user-helper (7 versione që imitojnë një program të AWS), @apple-pay-trust @google-pay-trust familje (duke imituar modulet e arkëtimit të pagesave), @frengki0707/google-cloud-clone (5 versione që falsifikojnë Google Cloud), dhe cms-storehub, cms-helpgitdhe cms-github (CMS që synon pipelines). Shumë paketa imituan modulet e pagesës dhe të arkëtimit, enterprise dhe paketa të brendshme web, klientë analitikë, themele të UI-t, shërbime për zhvilluesit, eksplorues të komponentëve, paketa me tematikë cloud dhe Google, si dhe module të tjera të besueshme në rrjedhat moderne të punës së zhvillimit.

Këto nuk ishin anomali të izoluara. Ajo që spikati këtë javë ishte shkalla e publikimit të përsëritur në të njëjtat familje paketash, ripërdorimi i modeleve të emërtimit dhe mënyra se si paketat keqdashëse u maskuan për t'u dukur si varësi legjitime brenda ofrimit të softuerëve të vërtetë. pipelines.

Kjo përmbledhje javore është pjesë e përmbledhjes sonë të vazhdueshme të kodit keqdashës, ku ne vërtetojmë kërcënimet e reja dhe ofrojmë inteligjencë të zbatueshme për të ndihmuar ekipet DevSecOps të mbrojnë të tyret. pipelines para se të ndodhë dëmtimi.

Le të analizojmë çfarë gjetëm këtë javë dhe pse ka rëndësi.

Paketa të Konfirmuara Keqdashëse
ekosistemit paketë data
NPM@cloudplatform-single-spa/administration:99.99.100Mund 30, 2026
NPM@cloudplatform-single-spa/svp-s3-storage:99.99.100Mund 30, 2026
NPM@maximvs1538/os-npm:99.0.0Mund 30, 2026
NPM@easy-entry/landing-routes:99.9.5Mund 30, 2026
NPM@easy-entry/outside-registration-fop-navigator:99.9.5Mund 30, 2026
NPM@easy-entry/routes:99.9.5Mund 30, 2026
NPM@t-në-një/form_product_token:5.7.1Mund 30, 2026
NPM@capibar.chat/ui-kit:99.5.7Mund 30, 2026
vscodemenaxheri-xampp:5.1.3Mund 30, 2026
NPM@chat-template/auth:1.0.0Mund 31, 2026
NPMjson-to-simple-graphql-schema:1.0.0Qershor 1, 2026
NPM@gs-select/savings-client-application:99.0.0Qershor 1, 2026
NPMnemo-reporter:1.8.2Qershor 1, 2026
NPMcms-github:4.2.4Qershor 1, 2026
NPMcms-helpgit:4.2.6Qershor 1, 2026
NPMcms-helpgit:4.2.8Qershor 1, 2026
NPMcms-storehub:1.3.4Qershor 1, 2026
NPMcms-storehub:1.3.5Qershor 1, 2026
NPMcms-storehub:1.3.6Qershor 1, 2026
pypisimtooreal-cli:0.3.0Qershor 1, 2026
NPMstrategjia-e-vendndodhjes-së-shitjeve-me-pakicë-frontend:1.1.1Qershor 1, 2026
NPMstrategjia-e-vendndodhjes-së-shitjeve-me-pakicë-frontend:1.1.2Qershor 1, 2026
NPMconversa-sdk:2.0.2Qershor 1, 2026
NPMveltrix:9.0.0Qershor 1, 2026
NPMveltrix:9.0.1Qershor 1, 2026
NPMjingmeideshishi: 1.0.4Qershor 1, 2026
NPMjingmeideshishi: 1.0.5Qershor 1, 2026
NPM@tse-digital/core:99.0.0Qershor 1, 2026
NPM@telenor-se/core:99.0.0Qershor 1, 2026
NPM@ownit/core:99.0.0Qershor 1, 2026
NPMdokumentet e pacientit: 75.0.0Qershor 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.69Qershor 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.68Qershor 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.82Qershor 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.80Qershor 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.81Qershor 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.83Qershor 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.3Qershor 1, 2026
NPM@emcd-vue/auth:6.4.9Qershor 1, 2026
NPM@emcd-vue/b2b-page-form:5.7.4Qershor 1, 2026
NPM@ccrm/user-storage-api-axios:5.0.1Qershor 2, 2026
NPMndjeshmëria: 2.5.8Qershor 2, 2026
NPMndjeshmëria: 2.5.12Qershor 2, 2026
NPMndjeshmëria: 2.5.16Qershor 2, 2026
NPMndjeshmëria: 2.5.17Qershor 2, 2026
NPMndjeshmëria: 2.5.18Qershor 2, 2026
NPMndjeshmëria: 2.5.19Qershor 2, 2026
NPMndjeshmëria: 2.5.20Qershor 2, 2026
NPMndjeshmëria: 2.5.21Qershor 2, 2026
NPMndjeshmëria: 2.5.22Qershor 2, 2026
NPMndjeshmëria: 2.5.23Qershor 2, 2026
NPMndjeshmëria: 2.5.24Qershor 2, 2026
NPMndjeshmëria: 2.5.25Qershor 2, 2026
NPMndjeshmëria: 2.5.26Qershor 2, 2026
NPMndjeshmëria: 2.5.27Qershor 2, 2026
NPMndjeshmëria: 2.5.28Qershor 2, 2026
NPMndjeshmëria: 2.5.29Qershor 2, 2026
NPMndjeshmëria: 2.5.30Qershor 2, 2026
NPMndjeshmëria: 2.5.31Qershor 2, 2026
NPMndjeshmëria: 2.5.32Qershor 2, 2026
NPMndjeshmëria: 2.5.41Qershor 2, 2026
NPMndjeshmëria: 2.5.42Qershor 2, 2026
NPMndjeshmëria: 2.5.43Qershor 2, 2026
NPMndjeshmëria: 2.5.44Qershor 2, 2026
NPMndjeshmëria: 2.5.45Qershor 2, 2026
NPMndjeshmëria: 2.5.46Qershor 2, 2026
NPMndihmësit-meoo-ui:1.0.1Qershor 2, 2026
NPM@langgraphjs/toolkit:1.2.10Qershor 2, 2026
NPMeyevox:9.0.1Qershor 2, 2026
NPMndjeshmëria: 2.5.53Qershor 3, 2026
NPMndjeshmëria: 2.5.54Qershor 3, 2026
NPMndjeshmëria: 2.5.55Qershor 3, 2026
NPMndjeshmëria: 2.5.56Qershor 3, 2026
NPMndjeshmëria: 2.5.57Qershor 3, 2026
NPMndjeshmëria: 2.5.61Qershor 3, 2026
NPM@sentry-browser-sdk/profiling-node:1.0.1Qershor 4, 2026
NPM@sentry-browser-sdk/profiling-node:1.0.2Qershor 4, 2026
NPM@sentry-browser-sdk/profiling-node:1.0.5Qershor 4, 2026
NPMshërbimi i mbledhjes së fondeve: 1.0.0Qershor 4, 2026
NPMndjeshmëria: 2.5.67Qershor 4, 2026
NPMndjeshmëria: 2.5.68Qershor 4, 2026
NPMmodeli-i-ndërveprimit-vg:40.0.5Qershor 4, 2026
NPMinternallib_v346:1.0.3Qershor 4, 2026
NPMinternallib_v346:1.0.5Qershor 4, 2026
NPMinternallib_v346:1.0.9Qershor 4, 2026
NPMndihmësit-e-sdk-së: 0.2.1Qershor 4, 2026
NPMndihmësit-e-sdk-së: 0.3.0Qershor 4, 2026
NPMndihmësit-e-sdk-së: 0.3.1Qershor 4, 2026
NPMndihmësit-e-sdk-së: 1.1.0Qershor 4, 2026
NPMndihmësit-e-sdk-së: 1.1.1Qershor 4, 2026
NPMndihmësit-e-sdk-së: 1.3.0Qershor 4, 2026
NPMndihmësit-e-sdk-së: 1.4.0Qershor 4, 2026
NPMndihmësit-e-sdk-së: 1.4.2Qershor 4, 2026
NPM@achuthvp/postinstall-poc:1.0.3Qershor 4, 2026
NPMndjeshmëria: 2.5.0Qershor 5, 2026
NPMndjeshmëria: 2.5.1Qershor 5, 2026
NPMndjeshmëria: 2.5.2Qershor 5, 2026
NPMndjeshmëria: 2.5.3Qershor 5, 2026
NPMndjeshmëria: 2.5.4Qershor 5, 2026
NPMndjeshmëria: 2.5.5Qershor 5, 2026
NPMndjeshmëria: 2.5.13Qershor 5, 2026
NPMndjeshmëria: 2.5.14Qershor 5, 2026
NPMndjeshmëria: 2.5.15Qershor 5, 2026
NPMndjeshmëria: 2.5.33Qershor 5, 2026
NPMndjeshmëria: 2.5.34Qershor 5, 2026
NPMndjeshmëria: 2.5.35Qershor 5, 2026
NPMndjeshmëria: 2.5.36Qershor 5, 2026
NPMndjeshmëria: 2.5.37Qershor 5, 2026
NPMndjeshmëria: 2.5.38Qershor 5, 2026
NPMndjeshmëria: 2.5.58Qershor 5, 2026
NPMndjeshmëria: 2.5.59Qershor 5, 2026
NPMndjeshmëria: 2.5.60Qershor 5, 2026
NPMndjeshmëria: 2.5.62Qershor 5, 2026
NPMndjeshmëria: 2.5.63Qershor 5, 2026
NPMndjeshmëria: 2.5.64Qershor 5, 2026
NPMndjeshmëria: 2.5.65Qershor 5, 2026
NPMndjeshmëria: 2.5.66Qershor 5, 2026
NPMndjeshmëria: 2.5.69Qershor 5, 2026


Siguroni Varësitë tuaja me Burim të Hapur kundër Dobësive dhe Kodit Dashakeq

Mos lejoni që paketat dashakeqe të arrijnë tek ju pipelines. Zbulimi i Hershëm i Malware-it Xygeni i jep ekipit tuaj shikueshmëri në kohë reale të kërcënimeve që kanë më shumë rëndësi, duke kapur varësitë e dëmshme përpara se ato të prekin softuerin tuaj.

Siç e bën të qartë përmbledhja e kësaj jave, vëllimi dhe sofistikimi i fushatave të paketave dashakeqe nuk po ngadalësohet. Përmbytja e koordinuar e versioneve, imitimi i moduleve të pagesave dhe emrat e paketave që tingëllojnë të brendshëm janë vetëm disa nga taktikat që sulmuesit po përdorin për t'u shmangur. standard mbrojtjet. Të qëndrosh përpara këtyre kërcënimeve kërkon më shumë sesa auditime periodike, por kërkon monitorim të vazhdueshëm në çdo regjistër nga i cili varen ekipet tuaja.

Xygeni's Open Source Security Zgjidhja skanon dhe bllokon paketat e dëmshme në momentin e publikimit, në npm, PyPI dhe më gjerë. Duke i dhënë përparësi kontekstuale dobësive që paraqesin rrezikun më të madh në botën reale (dhe duke përmirësuar rrugën e korrigjimit për ekipet tuaja DevSecOps), Xygeni ju ndihmon të ruani ofrimin e sigurt dhe të besueshëm të softuerit pa ngadalësuar zhvillimin.

mjetet-e-për-përbërjes-së-softuerit-sca-tools
Përparësoni, korrigjoni dhe siguroni rreziqet e softuerit tuaj
Merrni Llogarinë tuaj Falas.
Nuk kërkohet kartë krediti.

Siguroni Zhvillimin dhe Ofrimin e Softuerit tuaj

me Xygeni Product Suite