Nästan varje vecka, våra system för att upptäcka skadlig kod skannar tusentals nya och uppdaterade paket i offentliga register som npm och PyPI. Den här veckan var mycket aktiv.
Vi bekräftade 245 032 skadliga paket, främst över npm, med ytterligare fall i PyPI, OpenVSX, Composer och VS Code-tillägg. Flera dök upp i koordinerade kluster, med upprepade skadliga utgåvor publicerade under samma namn eller över närbesläktade paketfamiljer. Ett framstående fall var sensivity paketet, vilket översvämmade npm med över 60 versionsutgåvor över 2.5.x-serien. Andra anmärkningsvärda kluster inkluderade ai-sdk-helpers (8 versioner riktade mot AI-utvecklare), @antoncallahan/aws-user-helper (7 versioner som imiterar ett AWS-verktyg), @apple-pay-trust och @google-pay-trust familjer (som efterliknar betalningsmoduler för utcheckning), @frengki0707/google-cloud-clone (5 versioner som förfalskar Google Cloud), och cms-storehub, cms-helpgitoch cms-github (inriktning på CMS) pipelines). Många paket imiterade betalnings- och utcheckningsmoduler, enterprise och interna webbpaket, analysklienter, UI-fundament, utvecklarverktyg, komponentutforskare, moln- och Google-temapaket och andra moduler som vanligtvis används i moderna utvecklingsarbetsflöden.
Det här var inte isolerade avvikelser. Det som stack ut den här veckan var omfattningen av upprepad publicering inom samma paketfamiljer, återanvändningen av namngivningsmönster och hur skadliga paket maskerades för att se ut som legitima beroenden inom verklig programvaruleverans. pipelines.
Denna veckovisa ögonblicksbild är en del av vår pågående sammanfattning av skadlig kod, där vi validerar nya hot och tillhandahåller handlingsbar information för att hjälpa DevSecOps-team att skydda sina pipelineinnan skada uppstår.
Låt oss gå igenom vad vi hittade den här veckan och varför det är viktigt.
| Ekosystem | Paket | Datum |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | May 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | May 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | May 30, 2026 |
| npm | @enkla-inträde/landningsvägar:99.9.5 | May 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | May 30, 2026 |
| npm | @enkel-entré/rutter:99.9.5 | May 30, 2026 |
| npm | @t-in-one/formulär_produkt_token:5.7.1 | May 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | May 30, 2026 |
| vscode | xampp-manager:5.1.3 | May 30, 2026 |
| npm | @chattmall/auktorisering:1.0.0 | May 31, 2026 |
| npm | json-till-simple-graphql-schema:1.0.0 | Juni 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Juni 1, 2026 |
| npm | nemo-reporter:1.8.2 | Juni 1, 2026 |
| npm | cms-github:4.2.4 | Juni 1, 2026 |
| npm | cms-hjälpgit:4.2.6 | Juni 1, 2026 |
| npm | cms-hjälpgit:4.2.8 | Juni 1, 2026 |
| npm | cms-storehub:1.3.4 | Juni 1, 2026 |
| npm | cms-storehub:1.3.5 | Juni 1, 2026 |
| npm | cms-storehub:1.3.6 | Juni 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Juni 1, 2026 |
| npm | detaljhandelsplatsstrategi-gränssnitt: 1.1.1 | Juni 1, 2026 |
| npm | detaljhandelsplatsstrategi-gränssnitt: 1.1.2 | Juni 1, 2026 |
| npm | conversa-sdk:2.0.2 | Juni 1, 2026 |
| npm | veltrix:9.0.0 | Juni 1, 2026 |
| npm | veltrix:9.0.1 | Juni 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Juni 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Juni 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Juni 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Juni 1, 2026 |
| npm | @ownit/core:99.0.0 | Juni 1, 2026 |
| npm | patientdokument: 75.0.0 | Juni 1, 2026 |
| npm | @antoncallahan/aws-användarhjälpare:6767.67.69 | Juni 1, 2026 |
| npm | @antoncallahan/aws-användarhjälpare:6767.67.68 | Juni 1, 2026 |
| npm | @antoncallahan/aws-användarhjälpare:6767.67.82 | Juni 1, 2026 |
| npm | @antoncallahan/aws-användarhjälpare:6767.67.80 | Juni 1, 2026 |
| npm | @antoncallahan/aws-användarhjälpare:6767.67.81 | Juni 1, 2026 |
| npm | @antoncallahan/aws-användarhjälpare:6767.67.83 | Juni 1, 2026 |
| npm | @antoncallahan/aws-användarhjälpare:6767.67.3 | Juni 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Juni 1, 2026 |
| npm | @emcd-vue/b2b-betalningsformulär:5.7.4 | Juni 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Juni 2, 2026 |
| npm | känslighet: 2.5.8 | Juni 2, 2026 |
| npm | känslighet: 2.5.12 | Juni 2, 2026 |
| npm | känslighet: 2.5.16 | Juni 2, 2026 |
| npm | känslighet: 2.5.17 | Juni 2, 2026 |
| npm | känslighet: 2.5.18 | Juni 2, 2026 |
| npm | känslighet: 2.5.19 | Juni 2, 2026 |
| npm | känslighet: 2.5.20 | Juni 2, 2026 |
| npm | känslighet: 2.5.21 | Juni 2, 2026 |
| npm | känslighet: 2.5.22 | Juni 2, 2026 |
| npm | känslighet: 2.5.23 | Juni 2, 2026 |
| npm | känslighet: 2.5.24 | Juni 2, 2026 |
| npm | känslighet: 2.5.25 | Juni 2, 2026 |
| npm | känslighet: 2.5.26 | Juni 2, 2026 |
| npm | känslighet: 2.5.27 | Juni 2, 2026 |
| npm | känslighet: 2.5.28 | Juni 2, 2026 |
| npm | känslighet: 2.5.29 | Juni 2, 2026 |
| npm | känslighet: 2.5.30 | Juni 2, 2026 |
| npm | känslighet: 2.5.31 | Juni 2, 2026 |
| npm | känslighet: 2.5.32 | Juni 2, 2026 |
| npm | känslighet: 2.5.41 | Juni 2, 2026 |
| npm | känslighet: 2.5.42 | Juni 2, 2026 |
| npm | känslighet: 2.5.43 | Juni 2, 2026 |
| npm | känslighet: 2.5.44 | Juni 2, 2026 |
| npm | känslighet: 2.5.45 | Juni 2, 2026 |
| npm | känslighet: 2.5.46 | Juni 2, 2026 |
| npm | meoo-ui-hjälpare:1.0.1 | Juni 2, 2026 |
| npm | @langgraphjs/verktygslåda:1.2.10 | Juni 2, 2026 |
| npm | eyevox:9.0.1 | Juni 2, 2026 |
| npm | känslighet: 2.5.53 | Juni 3, 2026 |
| npm | känslighet: 2.5.54 | Juni 3, 2026 |
| npm | känslighet: 2.5.55 | Juni 3, 2026 |
| npm | känslighet: 2.5.56 | Juni 3, 2026 |
| npm | känslighet: 2.5.57 | Juni 3, 2026 |
| npm | känslighet: 2.5.61 | Juni 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Juni 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Juni 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Juni 4, 2026 |
| npm | insamlingsserv:1.0.0 | Juni 4, 2026 |
| npm | känslighet: 2.5.67 | Juni 4, 2026 |
| npm | känslighet: 2.5.68 | Juni 4, 2026 |
| npm | vg-interaktionsmodell:40.0.5 | Juni 4, 2026 |
| npm | internallib_v346:1.0.3 | Juni 4, 2026 |
| npm | internallib_v346:1.0.5 | Juni 4, 2026 |
| npm | internallib_v346:1.0.9 | Juni 4, 2026 |
| npm | ai-sdk-hjälpare:0.2.1 | Juni 4, 2026 |
| npm | ai-sdk-hjälpare:0.3.0 | Juni 4, 2026 |
| npm | ai-sdk-hjälpare:0.3.1 | Juni 4, 2026 |
| npm | ai-sdk-hjälpare:1.1.0 | Juni 4, 2026 |
| npm | ai-sdk-hjälpare:1.1.1 | Juni 4, 2026 |
| npm | ai-sdk-hjälpare:1.3.0 | Juni 4, 2026 |
| npm | ai-sdk-hjälpare:1.4.0 | Juni 4, 2026 |
| npm | ai-sdk-hjälpare:1.4.2 | Juni 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Juni 4, 2026 |
| npm | känslighet: 2.5.0 | Juni 5, 2026 |
| npm | känslighet: 2.5.1 | Juni 5, 2026 |
| npm | känslighet: 2.5.2 | Juni 5, 2026 |
| npm | känslighet: 2.5.3 | Juni 5, 2026 |
| npm | känslighet: 2.5.4 | Juni 5, 2026 |
| npm | känslighet: 2.5.5 | Juni 5, 2026 |
| npm | känslighet: 2.5.13 | Juni 5, 2026 |
| npm | känslighet: 2.5.14 | Juni 5, 2026 |
| npm | känslighet: 2.5.15 | Juni 5, 2026 |
| npm | känslighet: 2.5.33 | Juni 5, 2026 |
| npm | känslighet: 2.5.34 | Juni 5, 2026 |
| npm | känslighet: 2.5.35 | Juni 5, 2026 |
| npm | känslighet: 2.5.36 | Juni 5, 2026 |
| npm | känslighet: 2.5.37 | Juni 5, 2026 |
| npm | känslighet: 2.5.38 | Juni 5, 2026 |
| npm | känslighet: 2.5.58 | Juni 5, 2026 |
| npm | känslighet: 2.5.59 | Juni 5, 2026 |
| npm | känslighet: 2.5.60 | Juni 5, 2026 |
| npm | känslighet: 2.5.62 | Juni 5, 2026 |
| npm | känslighet: 2.5.63 | Juni 5, 2026 |
| npm | känslighet: 2.5.64 | Juni 5, 2026 |
| npm | känslighet: 2.5.65 | Juni 5, 2026 |
| npm | känslighet: 2.5.66 | Juni 5, 2026 |
| npm | känslighet: 2.5.69 | Juni 5, 2026 |
Skydda dina beroenden med öppen källkod mot sårbarheter och skadlig kod
Låt inte skadliga paket nå dig pipelines. Xygeni tidig upptäckt av skadlig kod ger ditt team realtidsinsikt i de hot som är viktigast och upptäcker skadliga beroenden innan de ens rör vid din programvara.
Som veckans sammanfattning tydliggör minskar inte volymen och sofistikeringen av skadliga paketkampanjer. Koordinerad versionsöversvämning, imitation av betalningsmoduler och internt klingande paketnamn är bara några av de taktiker som angripare använder för att smyga sig förbi. standard försvar. Att ligga steget före dessa hot kräver mer än regelbundna granskningar, det kräver kontinuerlig övervakning av alla register som dina team är beroende av.
Xygenis Open Source Security Lösningen skannar och blockerar skadliga paket vid publiceringstillfället, över npm, PyPI och därefter. Genom att kontextuellt prioritera de sårbarheter som utgör den största verkliga risken (och effektivisera åtgärdsprocessen för dina DevSecOps-team) hjälper Xygeni dig att upprätthålla säker och tillförlitlig programvaruleverans utan att sakta ner utvecklingen.




