Скоро сваке недеље, наши системи за детекцију злонамерног софтвера скенирају хиљаде нових и ажурираних пакета у јавним регистрима као што су npm и PyPI. Ова недеља је била веома активна.
Потврдили смо 198 злонамерних пакета, првенствено у npm-у, са додатним случајевима у PyPI, OpenVSX, Composer и VS Code екстензијама. Неколико се појавило у координисаним кластерима, са поновљеним злонамерним издањима објављеним под истим именима или у уско повезаним породицама пакета. Истакнут случај био је sensivity пакет, који је преплавио npm са преко 60 верзионих издања у распону верзије 2.5.x. Остали значајни кластери су укључивали ai-sdk-helpers (8 верзија намењених програмерима вештачке интелигенције), @antoncallahan/aws-user-helper (7 верзија које се лажно представљају као AWS услужни програм), @apple-pay-trust @google-pay-trust породице (имитирајуће модуле за плаћање и плаћање), @frengki0707/google-cloud-clone (5 верзија које лажно представљају Google Cloud) и cms-storehub, cms-helpgit, i cms-github (циљање CMS-а pipelineс). Многи пакети су имитирали модуле за плаћање и плаћање, enterprise и интерни веб пакети, аналитички клијенти, основе корисничког интерфејса, услужни програми за програмере, истраживачи компоненти, пакети у облаку и Google стилу и други модули којима се обично верује у модерним развојним токовима рада.
Ово нису биле изоловане аномалије. Оно што се истицало ове недеље јесте обим поновљеног објављивања у истим породицама пакета, поновна употреба образаца именовања и начин на који су злонамерни пакети били прикривени да изгледају као легитимне зависности унутар стварне испоруке софтвера. pipelines.
Овај недељни преглед је део нашег текућег прегледа злонамерног кода, где валидирамо нове претње и пружамо корисне обавештајне податке како бисмо помогли DevSecOps тимовима да заштите своје pipelineпре него што дође до оштећења.
Хајде да анализирамо шта смо пронашли ове недеље и зашто је то важно.
| Екосистем | пакет | datum |
|---|---|---|
| нпм | @cloudplatform-single-spa/administration:99.99.100 | 30. мaj 2026. године |
| нпм | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30. мaj 2026. године |
| нпм | @maximvs1538/os-npm:99.0.0 | 30. мaj 2026. године |
| нпм | @easy-entry/landing-routes:99.9.5 | 30. мaj 2026. године |
| нпм | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30. мaj 2026. године |
| нпм | @easy-entry/routes:99.9.5 | 30. мaj 2026. године |
| нпм | @t-in-one/form_product_token:5.7.1 | 30. мaj 2026. године |
| нпм | @capibar.chat/ui-kit:99.5.7 | 30. мaj 2026. године |
| всцоде | xampp-manager:5.1.3 | 30. мaj 2026. године |
| нпм | @шаблон-за-ћаскање/аутентификација:1.0.0 | 31. мaj 2026. године |
| нпм | json-to-simple-graphql-schema:1.0.0 | 1. јун 2026 |
| нпм | @gs-select/savings-client-application:99.0.0 | 1. јун 2026 |
| нпм | немо-репортер:1.8.2 | 1. јун 2026 |
| нпм | цмс-гитхаб:4.2.4 | 1. јун 2026 |
| нпм | цмс-хелпгит:4.2.6 | 1. јун 2026 |
| нпм | цмс-хелпгит:4.2.8 | 1. јун 2026 |
| нпм | cms-storehub:1.3.4 | 1. јун 2026 |
| нпм | cms-storehub:1.3.5 | 1. јун 2026 |
| нпм | cms-storehub:1.3.6 | 1. јун 2026 |
| пипи | simtooreal-cli:0.3.0 | 1. јун 2026 |
| нпм | малопродајна-локација-стратегија-фронтенд:1.1.1 | 1. јун 2026 |
| нпм | малопродајна-локација-стратегија-фронтенд:1.1.2 | 1. јун 2026 |
| нпм | conversa-sdk:2.0.2 | 1. јун 2026 |
| нпм | велтрикс:9.0.0 | 1. јун 2026 |
| нпм | велтрикс:9.0.1 | 1. јун 2026 |
| нпм | јингмеидесхисхи:1.0.4 | 1. јун 2026 |
| нпм | јингмеидесхисхи:1.0.5 | 1. јун 2026 |
| нпм | @tse-digital/core:99.0.0 | 1. јун 2026 |
| нпм | @telenor-se/core:99.0.0 | 1. јун 2026 |
| нпм | @ownit/core:99.0.0 | 1. јун 2026 |
| нпм | документи пацијента: 75.0.0 | 1. јун 2026 |
| нпм | @antoncallahan/aws-user-helper:6767.67.69 | 1. јун 2026 |
| нпм | @antoncallahan/aws-user-helper:6767.67.68 | 1. јун 2026 |
| нпм | @antoncallahan/aws-user-helper:6767.67.82 | 1. јун 2026 |
| нпм | @antoncallahan/aws-user-helper:6767.67.80 | 1. јун 2026 |
| нпм | @antoncallahan/aws-user-helper:6767.67.81 | 1. јун 2026 |
| нпм | @antoncallahan/aws-user-helper:6767.67.83 | 1. јун 2026 |
| нпм | @antoncallahan/aws-user-helper:6767.67.3 | 1. јун 2026 |
| нпм | @emcd-vue/auth:6.4.9 | 1. јун 2026 |
| нпм | @emcd-vue/b2b-pay-form:5.7.4 | 1. јун 2026 |
| нпм | @ццрм/усер-стораге-апи-акиос:5.0.1 | 2. јун 2026 |
| нпм | осетљивост: 2.5.8 | 2. јун 2026 |
| нпм | осетљивост: 2.5.12 | 2. јун 2026 |
| нпм | осетљивост: 2.5.16 | 2. јун 2026 |
| нпм | осетљивост: 2.5.17 | 2. јун 2026 |
| нпм | осетљивост: 2.5.18 | 2. јун 2026 |
| нпм | осетљивост: 2.5.19 | 2. јун 2026 |
| нпм | осетљивост: 2.5.20 | 2. јун 2026 |
| нпм | осетљивост: 2.5.21 | 2. јун 2026 |
| нпм | осетљивост: 2.5.22 | 2. јун 2026 |
| нпм | осетљивост: 2.5.23 | 2. јун 2026 |
| нпм | осетљивост: 2.5.24 | 2. јун 2026 |
| нпм | осетљивост: 2.5.25 | 2. јун 2026 |
| нпм | осетљивост: 2.5.26 | 2. јун 2026 |
| нпм | осетљивост: 2.5.27 | 2. јун 2026 |
| нпм | осетљивост: 2.5.28 | 2. јун 2026 |
| нпм | осетљивост: 2.5.29 | 2. јун 2026 |
| нпм | осетљивост: 2.5.30 | 2. јун 2026 |
| нпм | осетљивост: 2.5.31 | 2. јун 2026 |
| нпм | осетљивост: 2.5.32 | 2. јун 2026 |
| нпм | осетљивост: 2.5.41 | 2. јун 2026 |
| нпм | осетљивост: 2.5.42 | 2. јун 2026 |
| нпм | осетљивост: 2.5.43 | 2. јун 2026 |
| нпм | осетљивост: 2.5.44 | 2. јун 2026 |
| нпм | осетљивост: 2.5.45 | 2. јун 2026 |
| нпм | осетљивост: 2.5.46 | 2. јун 2026 |
| нпм | meoo-ui-helpers:1.0.1 | 2. јун 2026 |
| нпм | @langgraphjs/toolkit:1.2.10 | 2. јун 2026 |
| нпм | ајвокс:9.0.1 | 2. јун 2026 |
| нпм | осетљивост: 2.5.53 | 3. јун 2026 |
| нпм | осетљивост: 2.5.54 | 3. јун 2026 |
| нпм | осетљивост: 2.5.55 | 3. јун 2026 |
| нпм | осетљивост: 2.5.56 | 3. јун 2026 |
| нпм | осетљивост: 2.5.57 | 3. јун 2026 |
| нпм | осетљивост: 2.5.61 | 3. јун 2026 |
| нпм | @sentry-browser-sdk/profiling-node:1.0.1 | 4. јун 2026 |
| нпм | @sentry-browser-sdk/profiling-node:1.0.2 | 4. јун 2026 |
| нпм | @sentry-browser-sdk/profiling-node:1.0.5 | 4. јун 2026 |
| нпм | прикупљање средстава:1.0.0 | 4. јун 2026 |
| нпм | осетљивост: 2.5.67 | 4. јун 2026 |
| нпм | осетљивост: 2.5.68 | 4. јун 2026 |
| нпм | vg-интеракцијски-модел:40.0.5 | 4. јун 2026 |
| нпм | интерналлиб_в346:1.0.3 | 4. јун 2026 |
| нпм | интерналлиб_в346:1.0.5 | 4. јун 2026 |
| нпм | интерналлиб_в346:1.0.9 | 4. јун 2026 |
| нпм | ai-sdk-helpers:0.2.1 | 4. јун 2026 |
| нпм | ai-sdk-helpers:0.3.0 | 4. јун 2026 |
| нпм | ai-sdk-helpers:0.3.1 | 4. јун 2026 |
| нпм | ai-sdk-helpers:1.1.0 | 4. јун 2026 |
| нпм | ai-sdk-helpers:1.1.1 | 4. јун 2026 |
| нпм | ai-sdk-helpers:1.3.0 | 4. јун 2026 |
| нпм | ai-sdk-helpers:1.4.0 | 4. јун 2026 |
| нпм | ai-sdk-helpers:1.4.2 | 4. јун 2026 |
| нпм | @ацхутхвп/постинсталл-поц:1.0.3 | 4. јун 2026 |
| нпм | осетљивост: 2.5.0 | 5. јун 2026 |
| нпм | осетљивост: 2.5.1 | 5. јун 2026 |
| нпм | осетљивост: 2.5.2 | 5. јун 2026 |
| нпм | осетљивост: 2.5.3 | 5. јун 2026 |
| нпм | осетљивост: 2.5.4 | 5. јун 2026 |
| нпм | осетљивост: 2.5.5 | 5. јун 2026 |
| нпм | осетљивост: 2.5.13 | 5. јун 2026 |
| нпм | осетљивост: 2.5.14 | 5. јун 2026 |
| нпм | осетљивост: 2.5.15 | 5. јун 2026 |
| нпм | осетљивост: 2.5.33 | 5. јун 2026 |
| нпм | осетљивост: 2.5.34 | 5. јун 2026 |
| нпм | осетљивост: 2.5.35 | 5. јун 2026 |
| нпм | осетљивост: 2.5.36 | 5. јун 2026 |
| нпм | осетљивост: 2.5.37 | 5. јун 2026 |
| нпм | осетљивост: 2.5.38 | 5. јун 2026 |
| нпм | осетљивост: 2.5.58 | 5. јун 2026 |
| нпм | осетљивост: 2.5.59 | 5. јун 2026 |
| нпм | осетљивост: 2.5.60 | 5. јун 2026 |
| нпм | осетљивост: 2.5.62 | 5. јун 2026 |
| нпм | осетљивост: 2.5.63 | 5. јун 2026 |
| нпм | осетљивост: 2.5.64 | 5. јун 2026 |
| нпм | осетљивост: 2.5.65 | 5. јун 2026 |
| нпм | осетљивост: 2.5.66 | 5. јун 2026 |
| нпм | осетљивост: 2.5.69 | 5. јун 2026 |
Заштитите своје зависности отвореног кода од рањивости и злонамерног кода
Не дозволите да злонамерни пакети дођу до вашег pipelines. Xygeni рано откривање злонамерног софтвера даје вашем тиму увид у претње које су најважније у реалном времену, откривајући штетне зависности пре него што уопште дођу у контакт са вашим софтвером.
Као што овогодишњи преглед јасно показује, обим и софистицираност кампања злонамерних пакета се не смањују. Координисано преплављивање верзијама, лажно представљање модула за плаћање и имена пакета која звуче интерно су само неке од тактика које нападачи користе да би се провукли standard одбрана. Остајање испред ових претњи захтева више од периодичних ревизија, захтева континуирано праћење сваког регистра од ког ваши тимови зависе.
Ксигенијев Open Source Security Решење скенира и блокира штетне пакете у тренутку објављивања, преко npm-а, PyPI-ја и даље. Контекстуалним давањем приоритета рањивостима које представљају највећи ризик у стварном свету (и поједностављивањем путање санације за ваше DevSecOps тимове), Xygeni вам помаже да одржавате безбедну и поуздану испоруку софтвера без успоравања развоја.




