Halos bawat linggo, ini-scan ng aming mga sistema ng pagtuklas ng malware ang libu-libong bago at na-update na mga pakete sa mga pampublikong rehistro tulad ng npm at PyPI. Naging aktibo ang linggong ito.
Kinumpirma namin 198 malisyosong pakete, pangunahin sa buong npm, na may karagdagang mga kaso sa mga extension ng PyPI, OpenVSX, Composer, at VS Code. Marami ang lumitaw sa mga coordinated cluster, na may paulit-ulit na malisyosong paglabas na inilathala sa ilalim ng parehong mga pangalan o sa mga malapit na kaugnay na pamilya ng pakete. Ang isang natatanging kaso ay ang sensivity pakete, na bumaha sa npm ng mahigit 60 bersyong may bersyon sa hanay na 2.5.x. Kasama sa iba pang kapansin-pansing kumpol ai-sdk-helpers (8 bersyon na nagta-target sa mga developer ng AI), @antoncallahan/aws-user-helper (7 bersyon na nagpapanggap na isang AWS utility), @apple-pay-trust at @google-pay-trust mga pamilya (ginagaya ang mga modyul sa pagbabayad), @frengki0707/google-cloud-clone (5 bersyong gumagaya sa Google Cloud), at cms-storehub, cms-helpgit, at cms-github (pag-target sa CMS pipelines). Maraming pakete ang ginaya ang mga modyul ng pagbabayad at pag-checkout, enterprise at mga internal na web package, analytics client, UI foundation, developer utilities, component explorer, cloud- at Google-themed package, at iba pang mga module na karaniwang pinagkakatiwalaan sa mga modernong development workflow.
Hindi ito mga nakahiwalay na anomalya. Ang kapansin-pansin ngayong linggo ay ang laki ng paulit-ulit na paglalathala sa parehong mga pamilya ng pakete, ang muling paggamit ng mga pattern ng pagpapangalan, at ang paraan ng pagbabalatkayo ng mga malisyosong pakete upang magmukhang mga lehitimong dependency sa loob ng totoong paghahatid ng software. pipelines.
Ang lingguhang snapshot na ito ay bahagi ng aming patuloy na Malicious Code Digest, kung saan pinapatunayan namin ang mga bagong banta at nagbibigay ng naaaksyunang impormasyon upang matulungan ang mga DevSecOps team na protektahan ang kanilang mga... pipelinebago mangyari ang pinsala.
Suriin natin ang mga natuklasan natin ngayong linggo at kung bakit ito mahalaga.
| ecosystem | pakete | petsa |
|---|---|---|
| npm | @cloudplatform-single-spa/administrasyon:99.99.100 | Mayo 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Mayo 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Mayo 30, 2026 |
| npm | @madaling-pagpasok/mga-ruta-ng-paglapag:99.9.5 | Mayo 30, 2026 |
| npm | @madaling-pagpasok/outside-registration-fop-navigator:99.9.5 | Mayo 30, 2026 |
| npm | @madaling-pagpasok/mga ruta:99.9.5 | Mayo 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Mayo 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Mayo 30, 2026 |
| vscode | xampp-manager:5.1.3 | Mayo 30, 2026 |
| npm | @chat-template/auth:1.0.0 | Mayo 31, 2026 |
| npm | json-to-simpleng-graphql-schema:1.0.0 | Hunyo 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Hunyo 1, 2026 |
| npm | nemo-reporter:1.8.2 | Hunyo 1, 2026 |
| npm | cms-github:4.2.4 | Hunyo 1, 2026 |
| npm | cms-helpgit:4.2.6 | Hunyo 1, 2026 |
| npm | cms-helpgit:4.2.8 | Hunyo 1, 2026 |
| npm | cms-storehub:1.3.4 | Hunyo 1, 2026 |
| npm | cms-storehub:1.3.5 | Hunyo 1, 2026 |
| npm | cms-storehub:1.3.6 | Hunyo 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Hunyo 1, 2026 |
| npm | estratehiya-sa-lokasyon-ng-tingian-frontend:1.1.1 | Hunyo 1, 2026 |
| npm | estratehiya-sa-lokasyon-ng-tingian-frontend:1.1.2 | Hunyo 1, 2026 |
| npm | conversa-sdk:2.0.2 | Hunyo 1, 2026 |
| npm | veltrix:9.0.0 | Hunyo 1, 2026 |
| npm | veltrix:9.0.1 | Hunyo 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Hunyo 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Hunyo 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Hunyo 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Hunyo 1, 2026 |
| npm | @ownit/core:99.0.0 | Hunyo 1, 2026 |
| npm | mga dokumento ng pasyente:75.0.0 | Hunyo 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Hunyo 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Hunyo 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Hunyo 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Hunyo 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Hunyo 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Hunyo 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Hunyo 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Hunyo 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | Hunyo 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.8 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.12 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.16 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.17 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.18 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.19 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.20 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.21 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.22 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.23 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.24 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.25 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.26 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.27 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.28 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.29 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.30 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.31 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.32 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.41 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.42 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.43 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.44 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.45 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.46 | Hunyo 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | Hunyo 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Hunyo 2, 2026 |
| npm | eyevox:9.0.1 | Hunyo 2, 2026 |
| npm | sensitibidad: 2.5.53 | Hunyo 3, 2026 |
| npm | sensitibidad: 2.5.54 | Hunyo 3, 2026 |
| npm | sensitibidad: 2.5.55 | Hunyo 3, 2026 |
| npm | sensitibidad: 2.5.56 | Hunyo 3, 2026 |
| npm | sensitibidad: 2.5.57 | Hunyo 3, 2026 |
| npm | sensitibidad: 2.5.61 | Hunyo 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Hunyo 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Hunyo 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Hunyo 4, 2026 |
| npm | fundraiserserv:1.0.0 | Hunyo 4, 2026 |
| npm | sensitibidad: 2.5.67 | Hunyo 4, 2026 |
| npm | sensitibidad: 2.5.68 | Hunyo 4, 2026 |
| npm | vg-interaction-model:40.0.5 | Hunyo 4, 2026 |
| npm | internallib_v346:1.0.3 | Hunyo 4, 2026 |
| npm | internallib_v346:1.0.5 | Hunyo 4, 2026 |
| npm | internallib_v346:1.0.9 | Hunyo 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 | Hunyo 4, 2026 |
| npm | ai-sdk-helpers:0.3.0 | Hunyo 4, 2026 |
| npm | ai-sdk-helpers:0.3.1 | Hunyo 4, 2026 |
| npm | ai-sdk-helpers:1.1.0 | Hunyo 4, 2026 |
| npm | ai-sdk-helpers:1.1.1 | Hunyo 4, 2026 |
| npm | ai-sdk-helpers:1.3.0 | Hunyo 4, 2026 |
| npm | ai-sdk-helpers:1.4.0 | Hunyo 4, 2026 |
| npm | ai-sdk-helpers:1.4.2 | Hunyo 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Hunyo 4, 2026 |
| npm | sensitibidad: 2.5.0 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.1 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.2 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.3 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.4 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.5 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.13 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.14 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.15 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.33 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.34 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.35 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.36 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.37 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.38 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.58 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.59 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.60 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.62 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.63 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.64 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.65 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.66 | Hunyo 5, 2026 |
| npm | sensitibidad: 2.5.69 | Hunyo 5, 2026 |
I-secure ang Iyong mga Open Source Dependencies laban sa mga Kahinaan at Malicious Code
Huwag hayaang makarating sa iyo ang mga malisyosong pakete pipelines. Maagang Pagtuklas ng Malware ng Xygeni Nagbibigay ito sa iyong koponan ng real-time na kakayahang makita ang mga pinakamahahalagang banta, na nakakahuli ng mga mapaminsalang dependency bago pa man nila maapektuhan ang iyong software.
Gaya ng nilinaw ng buod ngayong linggo, ang dami at sopistikasyon ng mga malisyosong kampanya ng pakete ay hindi bumabagal. Ang pagbaha ng magkatugmang bersyon, panggagaya sa mga module ng pagbabayad, at mga pangalan ng pakete na parang nasa loob ng telepono ay ilan lamang sa mga taktikang ginagamit ng mga umaatake upang makalusot. standard mga depensa. Ang pananatiling nangunguna sa mga bantang ito ay nangangailangan ng higit pa sa mga pana-panahong pag-awdit, nangangailangan ito ng patuloy na pagsubaybay sa bawat registry na inaasahan ng iyong mga koponan.
Xygeni's Open Source Security Ini-scan at hinaharangan ng solusyon ang mga mapaminsalang pakete sa punto ng paglalathala, sa buong npm, PyPI, at higit pa. Sa pamamagitan ng pagbibigay-priyoridad sa mga kahinaan na nagdudulot ng pinakamalaking panganib sa totoong mundo (at pagpapadali ng landas ng remediation para sa iyong mga DevSecOps team), tinutulungan ka ng Xygeni na mapanatili ang ligtas at maaasahang paghahatid ng software nang hindi pinapabagal ang pag-develop.




