เกือบทุกสัปดาห์ระบบตรวจจับมัลแวร์ของเราสแกนแพ็กเกจใหม่และแพ็กเกจที่ได้รับการอัปเดตหลายพันรายการจากแหล่งจัดเก็บแพ็กเกจสาธารณะ เช่น npm และ PyPI สัปดาห์นี้มีการดำเนินการอย่างคึกคักมาก
เรายืนยันแล้ว แพ็คเกจที่เป็นอันตราย 198 รายการโดยส่วนใหญ่พบใน npm และพบเพิ่มเติมใน PyPI, OpenVSX, Composer และส่วนขยาย VS Code หลายกรณีปรากฏขึ้นเป็นกลุ่มที่มีการประสานงานกัน โดยมีการเผยแพร่มัลแวร์ซ้ำๆ ภายใต้ชื่อเดียวกันหรือในกลุ่มแพ็กเกจที่เกี่ยวข้องอย่างใกล้ชิด กรณีที่โดดเด่นคือ sensivity แพ็คเกจดังกล่าวได้ปล่อยเวอร์ชันต่างๆ กว่า 60 เวอร์ชันในช่วง 2.5.x ลงใน npm จนล้นหลาม นอกจากนี้ยังมีกลุ่มอื่นๆ ที่น่าสนใจอีกมากมาย ai-sdk-helpers (8 เวอร์ชันสำหรับนักพัฒนา AI) @antoncallahan/aws-user-helper (7 เวอร์ชันที่ปลอมตัวเป็นยูทิลิตี้ของ AWS) @apple-pay-trust และ @google-pay-trust ครอบครัว (จำลองโมดูลการชำระเงิน) @frengki0707/google-cloud-clone (5 เวอร์ชันที่ปลอมแปลงเป็น Google Cloud) และ cms-storehub, cms-helpgitและ cms-github (กำหนดเป้าหมายไปที่ CMS) pipelineหลายโปรแกรมจำลองการทำงานของโมดูลการชำระเงินและขั้นตอนการชำระเงิน enterprise รวมถึงแพ็กเกจเว็บภายใน, ไคลเอนต์วิเคราะห์ข้อมูล, โครงสร้างพื้นฐาน UI, ยูทิลิตี้สำหรับนักพัฒนา, ตัวสำรวจส่วนประกอบ, แพ็กเกจที่ใช้ธีมคลาวด์และ Google และโมดูลอื่นๆ ที่มักได้รับความไว้วางใจในกระบวนการทำงานการพัฒนาสมัยใหม่
นี่ไม่ใช่ความผิดปกติที่เกิดขึ้นเพียงครั้งเดียว สิ่งที่โดดเด่นในสัปดาห์นี้คือการเผยแพร่ซ้ำๆ ในกลุ่มแพ็กเกจเดียวกัน การนำรูปแบบการตั้งชื่อมาใช้ซ้ำ และวิธีการที่แพ็กเกจที่เป็นอันตรายถูกปลอมแปลงให้ดูเหมือนเป็นส่วนประกอบที่ถูกต้องภายในระบบส่งมอบซอฟต์แวร์จริง pipelines.
ภาพรวมรายสัปดาห์นี้เป็นส่วนหนึ่งของรายงานสรุปโค้ดที่เป็นอันตรายอย่างต่อเนื่องของเรา ซึ่งเราตรวจสอบภัยคุกคามใหม่ๆ และให้ข้อมูลเชิงลึกที่นำไปปฏิบัติได้จริงเพื่อช่วยทีม DevSecOps ในการปกป้องระบบของตน pipelineก่อนที่ความเสียหายจะเกิดขึ้น
มาดูกันว่าสัปดาห์นี้เราค้นพบอะไรบ้าง และทำไมเรื่องนี้ถึงสำคัญ
| ระบบนิเวศ (Ecosystem) | แพ็คเกจ | วันที่ |
|---|---|---|
| NPM | @cloudplatform-single-spa/administration:99.99.100 | May 30, 2026 |
| NPM | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | May 30, 2026 |
| NPM | @maximvs1538/os-npm:99.0.0 | May 30, 2026 |
| NPM | @easy-entry/landing-routes:99.9.5 | May 30, 2026 |
| NPM | @easy-entry/outside-registration-fop-navigator:99.9.5 | May 30, 2026 |
| NPM | @easy-entry/routes:99.9.5 | May 30, 2026 |
| NPM | @t-in-one/form_product_token:5.7.1 | May 30, 2026 |
| NPM | @capibar.chat/ui-kit:99.5.7 | May 30, 2026 |
| vscode | xampp-manager:5.1.3 | May 30, 2026 |
| NPM | @chat-template/auth:1.0.0 | May 31, 2026 |
| NPM | json-to-simple-graphql-schema:1.0.0 | มิถุนายน 1, 2026 |
| NPM | @gs-select/savings-client-application:99.0.0 | มิถุนายน 1, 2026 |
| NPM | nemo-reporter:1.8.2 | มิถุนายน 1, 2026 |
| NPM | cms-github:4.2.4 | มิถุนายน 1, 2026 |
| NPM | cms-helpgit:4.2.6 | มิถุนายน 1, 2026 |
| NPM | cms-helpgit:4.2.8 | มิถุนายน 1, 2026 |
| NPM | cms-storehub:1.3.4 | มิถุนายน 1, 2026 |
| NPM | cms-storehub:1.3.5 | มิถุนายน 1, 2026 |
| NPM | cms-storehub:1.3.6 | มิถุนายน 1, 2026 |
| ปิปิ | simtooreal-cli:0.3.0 | มิถุนายน 1, 2026 |
| NPM | retail-location-strategy-frontend:1.1.1 | มิถุนายน 1, 2026 |
| NPM | retail-location-strategy-frontend:1.1.2 | มิถุนายน 1, 2026 |
| NPM | conversa-sdk:2.0.2 | มิถุนายน 1, 2026 |
| NPM | เวลทริกซ์:9.0.0 | มิถุนายน 1, 2026 |
| NPM | เวลทริกซ์:9.0.1 | มิถุนายน 1, 2026 |
| NPM | จิงเมเดชิชิ:1.0.4 | มิถุนายน 1, 2026 |
| NPM | จิงเมเดชิชิ:1.0.5 | มิถุนายน 1, 2026 |
| NPM | @tse-digital/core:99.0.0 | มิถุนายน 1, 2026 |
| NPM | @telenor-se/core:99.0.0 | มิถุนายน 1, 2026 |
| NPM | @ownit/core:99.0.0 | มิถุนายน 1, 2026 |
| NPM | เอกสารผู้ป่วย:75.0.0 | มิถุนายน 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.69 | มิถุนายน 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.68 | มิถุนายน 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.82 | มิถุนายน 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.80 | มิถุนายน 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.81 | มิถุนายน 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.83 | มิถุนายน 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.3 | มิถุนายน 1, 2026 |
| NPM | @emcd-vue/auth:6.4.9 | มิถุนายน 1, 2026 |
| NPM | @emcd-vue/b2b-pay-form:5.7.4 | มิถุนายน 1, 2026 |
| NPM | @ccrm/user-storage-api-axios:5.0.1 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.8 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.12 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.16 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.17 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.18 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.19 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.20 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.21 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.22 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.23 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.24 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.25 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.26 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.27 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.28 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.29 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.30 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.31 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.32 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.41 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.42 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.43 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.44 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.45 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.46 | มิถุนายน 2, 2026 |
| NPM | meoo-ui-helpers:1.0.1 | มิถุนายน 2, 2026 |
| NPM | @langgraphjs/toolkit:1.2.10 | มิถุนายน 2, 2026 |
| NPM | eyevox:9.0.1 | มิถุนายน 2, 2026 |
| NPM | ความไว: 2.5.53 | มิถุนายน 3, 2026 |
| NPM | ความไว: 2.5.54 | มิถุนายน 3, 2026 |
| NPM | ความไว: 2.5.55 | มิถุนายน 3, 2026 |
| NPM | ความไว: 2.5.56 | มิถุนายน 3, 2026 |
| NPM | ความไว: 2.5.57 | มิถุนายน 3, 2026 |
| NPM | ความไว: 2.5.61 | มิถุนายน 3, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.1 | มิถุนายน 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.2 | มิถุนายน 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.5 | มิถุนายน 4, 2026 |
| NPM | fundraiserserv:1.0.0 | มิถุนายน 4, 2026 |
| NPM | ความไว: 2.5.67 | มิถุนายน 4, 2026 |
| NPM | ความไว: 2.5.68 | มิถุนายน 4, 2026 |
| NPM | vg-interaction-model:40.0.5 | มิถุนายน 4, 2026 |
| NPM | internallib_v346:1.0.3 | มิถุนายน 4, 2026 |
| NPM | internallib_v346:1.0.5 | มิถุนายน 4, 2026 |
| NPM | internallib_v346:1.0.9 | มิถุนายน 4, 2026 |
| NPM | ai-sdk-helpers:0.2.1 | มิถุนายน 4, 2026 |
| NPM | ai-sdk-helpers:0.3.0 | มิถุนายน 4, 2026 |
| NPM | ai-sdk-helpers:0.3.1 | มิถุนายน 4, 2026 |
| NPM | ai-sdk-helpers:1.1.0 | มิถุนายน 4, 2026 |
| NPM | ai-sdk-helpers:1.1.1 | มิถุนายน 4, 2026 |
| NPM | ai-sdk-helpers:1.3.0 | มิถุนายน 4, 2026 |
| NPM | ai-sdk-helpers:1.4.0 | มิถุนายน 4, 2026 |
| NPM | ai-sdk-helpers:1.4.2 | มิถุนายน 4, 2026 |
| NPM | @achuthvp/postinstall-poc:1.0.3 | มิถุนายน 4, 2026 |
| NPM | ความไว: 2.5.0 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.1 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.2 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.3 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.4 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.5 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.13 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.14 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.15 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.33 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.34 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.35 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.36 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.37 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.38 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.58 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.59 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.60 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.62 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.63 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.64 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.65 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.66 | มิถุนายน 5, 2026 |
| NPM | ความไว: 2.5.69 | มิถุนายน 5, 2026 |
ปกป้องไลบรารีโอเพนซอร์สของคุณจากช่องโหว่และมัลแวร์
อย่าปล่อยให้พัสดุที่เป็นอันตรายเข้าถึงอุปกรณ์ของคุณ pipelines. Xygeni ระบบตรวจจับมัลแวร์ล่วงหน้า ช่วยให้ทีมของคุณมองเห็นภัยคุกคามที่สำคัญที่สุดได้แบบเรียลไทม์ ตรวจจับการพึ่งพาที่เป็นอันตรายก่อนที่จะส่งผลกระทบต่อซอฟต์แวร์ของคุณ
ดังที่บทสรุปประจำสัปดาห์นี้แสดงให้เห็นอย่างชัดเจน ปริมาณและความซับซ้อนของแคมเปญมัลแวร์ไม่ได้ลดลงเลย การโจมตีด้วยการปล่อยเวอร์ชันมัลแวร์หลายเวอร์ชันพร้อมกัน การปลอมแปลงโมดูลการชำระเงิน และชื่อแพ็กเกจที่ฟังดูเหมือนเป็นภาษาภายในองค์กร เป็นเพียงบางส่วนของกลยุทธ์ที่ผู้โจมตีใช้เพื่อหลบเลี่ยงการตรวจจับ standard ระบบป้องกัน การรับมือกับภัยคุกคามเหล่านี้ต้องอาศัยมากกว่าการตรวจสอบเป็นระยะๆ แต่ต้องมีการตรวจสอบอย่างต่อเนื่องในทุกรีจิสทรีที่ทีมของคุณใช้งานอยู่
ของไซเกนี Open Source Security โซลูชันนี้สแกนและบล็อกแพ็กเกจที่เป็นอันตราย ณ จุดที่เผยแพร่ ไม่ว่าจะเป็นบน npm, PyPI และอื่นๆ โดยการจัดลำดับความสำคัญของช่องโหว่ที่ก่อให้เกิดความเสี่ยงสูงสุดในโลกแห่งความเป็นจริง (และปรับปรุงกระบวนการแก้ไขสำหรับทีม DevSecOps ของคุณ) Xygeni ช่วยให้คุณรักษาความปลอดภัยและความน่าเชื่อถือในการส่งมอบซอฟต์แวร์โดยไม่ทำให้การพัฒนาช้าลง




