దాదాపు ప్రతి వారంమా మాల్వేర్ గుర్తింపు వ్యవస్థలు npm మరియు PyPI వంటి పబ్లిక్ రిజిస్ట్రీలలోని వేలాది కొత్త మరియు నవీకరించబడిన ప్యాకేజీలను స్కాన్ చేస్తాయి. ఈ వారం చాలా చురుకుగా గడిచింది.
మేము ధృవీకరించాము 198 హానికరమైన ప్యాకేజీలుప్రధానంగా npm అంతటా, అదనపు కేసులు PyPI, OpenVSX, Composer, మరియు VS Code ఎక్స్టెన్షన్లలో కనిపించాయి. అనేక కేసులు సమన్వయ సమూహాలుగా కనిపించాయి, వీటిలో హానికరమైన విడుదలలు పదేపదే ఒకే పేర్లతో లేదా దగ్గరి సంబంధం ఉన్న ప్యాకేజీ కుటుంబాలలో ప్రచురించబడ్డాయి. వీటిలో ఒక ముఖ్యమైన కేసు ఇది. sensivity ప్యాకేజీ, ఇది 2.5.x శ్రేణిలో 60కి పైగా వెర్షన్డ్ రిలీజ్లతో npmను నింపేసింది. ఇతర ముఖ్యమైన క్లస్టర్లలో ఇవి ఉన్నాయి: ai-sdk-helpers (AI డెవలపర్లను లక్ష్యంగా చేసుకున్న 8 వెర్షన్లు), @antoncallahan/aws-user-helper (AWS యుటిలిటీగా నటిస్తున్న 7 వెర్షన్లు), @apple-pay-trust మరియు @google-pay-trust కుటుంబాలు (చెల్లింపు చెక్అవుట్ మాడ్యూళ్లను అనుకరించడం), @frengki0707/google-cloud-clone (గూగుల్ క్లౌడ్ను మోసగించే 5 వెర్షన్లు), మరియు cms-storehub, cms-helpgitమరియు cms-github (CMSని లక్ష్యంగా చేసుకుని) pipelines). అనేక ప్యాకేజీలు చెల్లింపు మరియు చెక్అవుట్ మాడ్యూళ్లను అనుకరించాయి, enterprise మరియు అంతర్గత వెబ్ ప్యాకేజీలు, అనలిటిక్స్ క్లయింట్లు, UI ఫౌండేషన్లు, డెవలపర్ యుటిలిటీలు, కాంపోనెంట్ ఎక్స్ప్లోరర్లు, క్లౌడ్- మరియు గూగుల్-థీమ్డ్ ప్యాకేజీలు, మరియు ఆధునిక డెవలప్మెంట్ వర్క్ఫ్లోలలో సాధారణంగా విశ్వసించబడే ఇతర మాడ్యూల్స్.
ఇవి విడివిడి అసాధారణ సంఘటనలు కావు. ఈ వారం ప్రత్యేకంగా కనిపించిన విషయాలు: ఒకే ప్యాకేజీ కుటుంబాలలో పదేపదే ప్రచురించడం, నామకరణ పద్ధతులను తిరిగి ఉపయోగించడం, మరియు నిజమైన సాఫ్ట్వేర్ డెలివరీలో హానికరమైన ప్యాకేజీలను చట్టబద్ధమైన డిపెండెన్సీలుగా కనిపించేలా మారువేషంలో ఉంచడం. pipelines.
ఈ వారపు స్నాప్షాట్ మా కొనసాగుతున్న మాలీషియస్ కోడ్ డైజెస్ట్లో ఒక భాగం, దీనిలో మేము కొత్త ముప్పులను ధృవీకరించి, DevSecOps బృందాలు తమను తాము రక్షించుకోవడంలో సహాయపడటానికి చర్య తీసుకోదగిన ఇంటెలిజెన్స్ను అందిస్తాము. pipelineనష్టం జరగడానికి ముందే.
ఈ వారం మనం కనుగొన్న విషయాలను మరియు అవి ఎందుకు ముఖ్యమైనవో విశ్లేషిద్దాం.
| పర్యావరణ వ్యవస్థ | ప్యాకేజీ | తేదీ |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | 30 మే, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 మే, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | 30 మే, 2026 |
| npm | @సులభ-ప్రవేశం/ల్యాండింగ్-మార్గాలు:99.9.5 | 30 మే, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30 మే, 2026 |
| npm | @ఈజీ-ఎంట్రీ/రూట్స్:99.9.5 | 30 మే, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | 30 మే, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | 30 మే, 2026 |
| vcode | xampp-manager:5.1.3 | 30 మే, 2026 |
| npm | @చాట్-టెంప్లేట్/auth:1.0.0 | 31 మే, 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | Jun 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Jun 1, 2026 |
| npm | నెమో-రిపోర్టర్:1.8.2 | Jun 1, 2026 |
| npm | సిఎంఎస్-గిట్హబ్:4.2.4 | Jun 1, 2026 |
| npm | సిఎంఎస్-హెల్ప్గిట్:4.2.6 | Jun 1, 2026 |
| npm | సిఎంఎస్-హెల్ప్గిట్:4.2.8 | Jun 1, 2026 |
| npm | సిఎంఎస్-స్టోర్హబ్:1.3.4 | Jun 1, 2026 |
| npm | సిఎంఎస్-స్టోర్హబ్:1.3.5 | Jun 1, 2026 |
| npm | సిఎంఎస్-స్టోర్హబ్:1.3.6 | Jun 1, 2026 |
| pypi | సిమ్టూరియల్-క్లి:0.3.0 | Jun 1, 2026 |
| npm | రిటైల్-లొకేషన్-స్ట్రాటజీ-ఫ్రంటెండ్:1.1.1 | Jun 1, 2026 |
| npm | రిటైల్-లొకేషన్-స్ట్రాటజీ-ఫ్రంటెండ్:1.1.2 | Jun 1, 2026 |
| npm | కన్వర్సా-ఎస్డికె:2.0.2 | Jun 1, 2026 |
| npm | వెల్ట్రిక్స్:9.0.0 | Jun 1, 2026 |
| npm | వెల్ట్రిక్స్:9.0.1 | Jun 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Jun 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Jun 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Jun 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Jun 1, 2026 |
| npm | @ownit/core:99.0.0 | Jun 1, 2026 |
| npm | రోగి పత్రాలు:75.0.0 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Jun 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Jun 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | Jun 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.8 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.12 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.16 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.17 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.18 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.19 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.20 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.21 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.22 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.23 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.24 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.25 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.26 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.27 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.28 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.29 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.30 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.31 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.32 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.41 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.42 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.43 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.44 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.45 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.46 | Jun 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | Jun 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Jun 2, 2026 |
| npm | ఐవాక్స్:9.0.1 | Jun 2, 2026 |
| npm | సున్నితత్వం: 2.5.53 | Jun 3, 2026 |
| npm | సున్నితత్వం: 2.5.54 | Jun 3, 2026 |
| npm | సున్నితత్వం: 2.5.55 | Jun 3, 2026 |
| npm | సున్నితత్వం: 2.5.56 | Jun 3, 2026 |
| npm | సున్నితత్వం: 2.5.57 | Jun 3, 2026 |
| npm | సున్నితత్వం: 2.5.61 | Jun 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Jun 4, 2026 |
| npm | ఫండ్రైజర్సర్వ్:1.0.0 | Jun 4, 2026 |
| npm | సున్నితత్వం: 2.5.67 | Jun 4, 2026 |
| npm | సున్నితత్వం: 2.5.68 | Jun 4, 2026 |
| npm | vg-interaction-model:40.0.5 | Jun 4, 2026 |
| npm | ఇంటర్నల్లిబ్_వి346:1.0.3 | Jun 4, 2026 |
| npm | ఇంటర్నల్లిబ్_వి346:1.0.5 | Jun 4, 2026 |
| npm | ఇంటర్నల్లిబ్_వి346:1.0.9 | Jun 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 | Jun 4, 2026 |
| npm | ai-sdk-helpers:0.3.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:0.3.1 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.1.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.1.1 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.3.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.4.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.4.2 | Jun 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Jun 4, 2026 |
| npm | సున్నితత్వం: 2.5.0 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.1 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.2 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.3 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.4 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.5 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.13 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.14 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.15 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.33 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.34 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.35 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.36 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.37 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.38 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.58 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.59 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.60 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.62 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.63 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.64 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.65 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.66 | Jun 5, 2026 |
| npm | సున్నితత్వం: 2.5.69 | Jun 5, 2026 |
మీ ఓపెన్ సోర్స్ డిపెండెన్సీలను దుర్బలత్వాలు మరియు హానికరమైన కోడ్ నుండి సురక్షితం చేసుకోండి
హానికరమైన ప్యాకేజీలు మీ వద్దకు చేరకుండా నిరోధించండి pipelines. Xygeni ప్రారంభ మాల్వేర్ గుర్తింపు ఇది మీ సాఫ్ట్వేర్ను తాకకముందే హానికరమైన డిపెండెన్సీలను పట్టుకుంటూ, అత్యంత ముఖ్యమైన ముప్పుల గురించి మీ బృందానికి నిజ-సమయ దృశ్యమానతను అందిస్తుంది.
ఈ వారం సారాంశం స్పష్టం చేస్తున్నట్లుగా, హానికరమైన ప్యాకేజీ దాడుల తీవ్రత మరియు వాటిలోని అధునాతనత ఏమాత్రం తగ్గడం లేదు. సమన్వయంతో కూడిన వెర్షన్ ఫ్లడ్డింగ్, పేమెంట్ మాడ్యూల్ నకిలీ గుర్తింపు, మరియు అంతర్గత ప్యాకేజీల పేర్లలా వినిపించే పేర్లు వంటివి దాడి చేసేవారు తప్పించుకోవడానికి ఉపయోగిస్తున్న కొన్ని వ్యూహాలు మాత్రమే. standard రక్షణలు. ఈ ముప్పుల కంటే ముందుండాలంటే కాలానుగుణ ఆడిట్లు మాత్రమే సరిపోవు, మీ బృందాలు ఆధారపడే ప్రతి రిజిస్ట్రీలో నిరంతర పర్యవేక్షణ అవసరం.
క్సైజెనిస్ Open Source Security ఈ సొల్యూషన్, npm, PyPI మరియు ఇతర ప్లాట్ఫామ్లలో, ప్రచురణ సమయంలోనే హానికరమైన ప్యాకేజీలను స్కాన్ చేసి బ్లాక్ చేస్తుంది. వాస్తవ ప్రపంచంలో అత్యధిక ప్రమాదాన్ని కలిగించే బలహీనతలకు సందర్భోచితంగా ప్రాధాన్యత ఇవ్వడం ద్వారా (మరియు మీ DevSecOps బృందాల కోసం పరిష్కార మార్గాన్ని సులభతరం చేయడం ద్వారా), Xygeni డెవలప్మెంట్ను నెమ్మదింపజేయకుండా, సురక్షితమైన, నమ్మకమైన సాఫ్ట్వేర్ డెలివరీని నిర్వహించడానికి మీకు సహాయపడుతుంది.




