Digest ng Malisyosong Kodigo 73

Xygeni Malicious Code Digest 73

Halos bawat linggo, ini-scan ng aming mga sistema ng pagtuklas ng malware ang libu-libong bago at na-update na mga pakete sa mga pampublikong rehistro tulad ng npm at PyPI. Naging aktibo ang linggong ito.

Kinumpirma namin 198 malisyosong pakete, pangunahin sa buong npm, na may karagdagang mga kaso sa mga extension ng PyPI, OpenVSX, Composer, at VS Code. Marami ang lumitaw sa mga coordinated cluster, na may paulit-ulit na malisyosong paglabas na inilathala sa ilalim ng parehong mga pangalan o sa mga malapit na kaugnay na pamilya ng pakete. Ang isang natatanging kaso ay ang sensivity pakete, na bumaha sa npm ng mahigit 60 bersyong may bersyon sa hanay na 2.5.x. Kasama sa iba pang kapansin-pansing kumpol ai-sdk-helpers (8 bersyon na nagta-target sa mga developer ng AI), @antoncallahan/aws-user-helper (7 bersyon na nagpapanggap na isang AWS utility), @apple-pay-trust at @google-pay-trust mga pamilya (ginagaya ang mga modyul sa pagbabayad), @frengki0707/google-cloud-clone (5 bersyong gumagaya sa Google Cloud), at cms-storehub, cms-helpgit, at cms-github (pag-target sa CMS pipelines). Maraming pakete ang ginaya ang mga modyul ng pagbabayad at pag-checkout, enterprise at mga internal na web package, analytics client, UI foundation, developer utilities, component explorer, cloud- at Google-themed package, at iba pang mga module na karaniwang pinagkakatiwalaan sa mga modernong development workflow.

Hindi ito mga nakahiwalay na anomalya. Ang kapansin-pansin ngayong linggo ay ang laki ng paulit-ulit na paglalathala sa parehong mga pamilya ng pakete, ang muling paggamit ng mga pattern ng pagpapangalan, at ang paraan ng pagbabalatkayo ng mga malisyosong pakete upang magmukhang mga lehitimong dependency sa loob ng totoong paghahatid ng software. pipelines.

Ang lingguhang snapshot na ito ay bahagi ng aming patuloy na Malicious Code Digest, kung saan pinapatunayan namin ang mga bagong banta at nagbibigay ng naaaksyunang impormasyon upang matulungan ang mga DevSecOps team na protektahan ang kanilang mga... pipelinebago mangyari ang pinsala.

Suriin natin ang mga natuklasan natin ngayong linggo at kung bakit ito mahalaga.

Mga Nakumpirmang Malisyosong Pakete
ecosystem pakete petsa
npm@cloudplatform-single-spa/administrasyon:99.99.100Mayo 30, 2026
npm@cloudplatform-single-spa/svp-s3-storage:99.99.100Mayo 30, 2026
npm@maximvs1538/os-npm:99.0.0Mayo 30, 2026
npm@madaling-pagpasok/mga-ruta-ng-paglapag:99.9.5Mayo 30, 2026
npm@madaling-pagpasok/outside-registration-fop-navigator:99.9.5Mayo 30, 2026
npm@madaling-pagpasok/mga ruta:99.9.5Mayo 30, 2026
npm@t-in-one/form_product_token:5.7.1Mayo 30, 2026
npm@capibar.chat/ui-kit:99.5.7Mayo 30, 2026
vscodexampp-manager:5.1.3Mayo 30, 2026
npm@chat-template/auth:1.0.0Mayo 31, 2026
npmjson-to-simpleng-graphql-schema:1.0.0Hunyo 1, 2026
npm@gs-select/savings-client-application:99.0.0Hunyo 1, 2026
npmnemo-reporter:1.8.2Hunyo 1, 2026
npmcms-github:4.2.4Hunyo 1, 2026
npmcms-helpgit:4.2.6Hunyo 1, 2026
npmcms-helpgit:4.2.8Hunyo 1, 2026
npmcms-storehub:1.3.4Hunyo 1, 2026
npmcms-storehub:1.3.5Hunyo 1, 2026
npmcms-storehub:1.3.6Hunyo 1, 2026
pypisimtooreal-cli:0.3.0Hunyo 1, 2026
npmestratehiya-sa-lokasyon-ng-tingian-frontend:1.1.1Hunyo 1, 2026
npmestratehiya-sa-lokasyon-ng-tingian-frontend:1.1.2Hunyo 1, 2026
npmconversa-sdk:2.0.2Hunyo 1, 2026
npmveltrix:9.0.0Hunyo 1, 2026
npmveltrix:9.0.1Hunyo 1, 2026
npmjingmeideshishi:1.0.4Hunyo 1, 2026
npmjingmeideshishi:1.0.5Hunyo 1, 2026
npm@tse-digital/core:99.0.0Hunyo 1, 2026
npm@telenor-se/core:99.0.0Hunyo 1, 2026
npm@ownit/core:99.0.0Hunyo 1, 2026
npmmga dokumento ng pasyente:75.0.0Hunyo 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.69Hunyo 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.68Hunyo 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.82Hunyo 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.80Hunyo 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.81Hunyo 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.83Hunyo 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.3Hunyo 1, 2026
npm@emcd-vue/auth:6.4.9Hunyo 1, 2026
npm@emcd-vue/b2b-pay-form:5.7.4Hunyo 1, 2026
npm@ccrm/user-storage-api-axios:5.0.1Hunyo 2, 2026
npmsensitibidad: 2.5.8Hunyo 2, 2026
npmsensitibidad: 2.5.12Hunyo 2, 2026
npmsensitibidad: 2.5.16Hunyo 2, 2026
npmsensitibidad: 2.5.17Hunyo 2, 2026
npmsensitibidad: 2.5.18Hunyo 2, 2026
npmsensitibidad: 2.5.19Hunyo 2, 2026
npmsensitibidad: 2.5.20Hunyo 2, 2026
npmsensitibidad: 2.5.21Hunyo 2, 2026
npmsensitibidad: 2.5.22Hunyo 2, 2026
npmsensitibidad: 2.5.23Hunyo 2, 2026
npmsensitibidad: 2.5.24Hunyo 2, 2026
npmsensitibidad: 2.5.25Hunyo 2, 2026
npmsensitibidad: 2.5.26Hunyo 2, 2026
npmsensitibidad: 2.5.27Hunyo 2, 2026
npmsensitibidad: 2.5.28Hunyo 2, 2026
npmsensitibidad: 2.5.29Hunyo 2, 2026
npmsensitibidad: 2.5.30Hunyo 2, 2026
npmsensitibidad: 2.5.31Hunyo 2, 2026
npmsensitibidad: 2.5.32Hunyo 2, 2026
npmsensitibidad: 2.5.41Hunyo 2, 2026
npmsensitibidad: 2.5.42Hunyo 2, 2026
npmsensitibidad: 2.5.43Hunyo 2, 2026
npmsensitibidad: 2.5.44Hunyo 2, 2026
npmsensitibidad: 2.5.45Hunyo 2, 2026
npmsensitibidad: 2.5.46Hunyo 2, 2026
npmmeoo-ui-helpers:1.0.1Hunyo 2, 2026
npm@langgraphjs/toolkit:1.2.10Hunyo 2, 2026
npmeyevox:9.0.1Hunyo 2, 2026
npmsensitibidad: 2.5.53Hunyo 3, 2026
npmsensitibidad: 2.5.54Hunyo 3, 2026
npmsensitibidad: 2.5.55Hunyo 3, 2026
npmsensitibidad: 2.5.56Hunyo 3, 2026
npmsensitibidad: 2.5.57Hunyo 3, 2026
npmsensitibidad: 2.5.61Hunyo 3, 2026
npm@sentry-browser-sdk/profiling-node:1.0.1Hunyo 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.2Hunyo 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.5Hunyo 4, 2026
npmfundraiserserv:1.0.0Hunyo 4, 2026
npmsensitibidad: 2.5.67Hunyo 4, 2026
npmsensitibidad: 2.5.68Hunyo 4, 2026
npmvg-interaction-model:40.0.5Hunyo 4, 2026
npminternallib_v346:1.0.3Hunyo 4, 2026
npminternallib_v346:1.0.5Hunyo 4, 2026
npminternallib_v346:1.0.9Hunyo 4, 2026
npmai-sdk-helpers:0.2.1Hunyo 4, 2026
npmai-sdk-helpers:0.3.0Hunyo 4, 2026
npmai-sdk-helpers:0.3.1Hunyo 4, 2026
npmai-sdk-helpers:1.1.0Hunyo 4, 2026
npmai-sdk-helpers:1.1.1Hunyo 4, 2026
npmai-sdk-helpers:1.3.0Hunyo 4, 2026
npmai-sdk-helpers:1.4.0Hunyo 4, 2026
npmai-sdk-helpers:1.4.2Hunyo 4, 2026
npm@achuthvp/postinstall-poc:1.0.3Hunyo 4, 2026
npmsensitibidad: 2.5.0Hunyo 5, 2026
npmsensitibidad: 2.5.1Hunyo 5, 2026
npmsensitibidad: 2.5.2Hunyo 5, 2026
npmsensitibidad: 2.5.3Hunyo 5, 2026
npmsensitibidad: 2.5.4Hunyo 5, 2026
npmsensitibidad: 2.5.5Hunyo 5, 2026
npmsensitibidad: 2.5.13Hunyo 5, 2026
npmsensitibidad: 2.5.14Hunyo 5, 2026
npmsensitibidad: 2.5.15Hunyo 5, 2026
npmsensitibidad: 2.5.33Hunyo 5, 2026
npmsensitibidad: 2.5.34Hunyo 5, 2026
npmsensitibidad: 2.5.35Hunyo 5, 2026
npmsensitibidad: 2.5.36Hunyo 5, 2026
npmsensitibidad: 2.5.37Hunyo 5, 2026
npmsensitibidad: 2.5.38Hunyo 5, 2026
npmsensitibidad: 2.5.58Hunyo 5, 2026
npmsensitibidad: 2.5.59Hunyo 5, 2026
npmsensitibidad: 2.5.60Hunyo 5, 2026
npmsensitibidad: 2.5.62Hunyo 5, 2026
npmsensitibidad: 2.5.63Hunyo 5, 2026
npmsensitibidad: 2.5.64Hunyo 5, 2026
npmsensitibidad: 2.5.65Hunyo 5, 2026
npmsensitibidad: 2.5.66Hunyo 5, 2026
npmsensitibidad: 2.5.69Hunyo 5, 2026


I-secure ang Iyong mga Open Source Dependencies laban sa mga Kahinaan at Malicious Code

Huwag hayaang makarating sa iyo ang mga malisyosong pakete pipelines. Maagang Pagtuklas ng Malware ng Xygeni Nagbibigay ito sa iyong koponan ng real-time na kakayahang makita ang mga pinakamahahalagang banta, na nakakahuli ng mga mapaminsalang dependency bago pa man nila maapektuhan ang iyong software.

Gaya ng nilinaw ng buod ngayong linggo, ang dami at sopistikasyon ng mga malisyosong kampanya ng pakete ay hindi bumabagal. Ang pagbaha ng magkatugmang bersyon, panggagaya sa mga module ng pagbabayad, at mga pangalan ng pakete na parang nasa loob ng telepono ay ilan lamang sa mga taktikang ginagamit ng mga umaatake upang makalusot. standard mga depensa. Ang pananatiling nangunguna sa mga bantang ito ay nangangailangan ng higit pa sa mga pana-panahong pag-awdit, nangangailangan ito ng patuloy na pagsubaybay sa bawat registry na inaasahan ng iyong mga koponan.

Xygeni's Open Source Security Ini-scan at hinaharangan ng solusyon ang mga mapaminsalang pakete sa punto ng paglalathala, sa buong npm, PyPI, at higit pa. Sa pamamagitan ng pagbibigay-priyoridad sa mga kahinaan na nagdudulot ng pinakamalaking panganib sa totoong mundo (at pagpapadali ng landas ng remediation para sa iyong mga DevSecOps team), tinutulungan ka ng Xygeni na mapanatili ang ligtas at maaasahang paghahatid ng software nang hindi pinapabagal ang pag-develop.

mga tool sa pagsusuri ng komposisyon ng software ng mga tool sa sca
Unahin, ayusin, at i-secure ang mga panganib ng iyong software
Kunin ang Iyong Libreng Account.
Walang kinakailangang credit card.

I-secure ang Iyong Pag-develop at Paghahatid ng Software

kasama ang Xygeni Product Suite