Neredeyse her haftaKötü amaçlı yazılım tespit sistemlerimiz, npm ve PyPI gibi halka açık kayıt defterlerindeki binlerce yeni ve güncellenmiş paketi tarıyor. Bu hafta çok hareketli geçti.
Onayladık. 198 kötü amaçlı paketÖzellikle npm genelinde, ayrıca PyPI, OpenVSX, Composer ve VS Code uzantılarında da vakalar görüldü. Birçoğu koordineli kümeler halinde ortaya çıktı ve aynı isimler altında veya yakından ilişkili paket aileleri genelinde tekrarlanan kötü amaçlı sürümler yayınlandı. Öne çıkan bir vaka ise şuydu: sensivity Bu paket, npm'yi 2.5.x aralığında 60'tan fazla sürümle doldurdu. Diğer dikkat çekici kümelenmeler arasında şunlar yer aldı: ai-sdk-helpers (Yapay zeka geliştiricilerini hedefleyen 8 versiyon), @antoncallahan/aws-user-helper (AWS yardımcı programını taklit eden 7 sürüm), @apple-pay-trust hem de @google-pay-trust aileler (ödeme çıkış modüllerini taklit eden), @frengki0707/google-cloud-clone (Google Cloud'u taklit eden 5 versiyon) ve cms-storehub, cms-helpgit, ve cms-github (CMS'yi hedefleme) pipeline(s). Birçok paket ödeme ve ödeme işlemlerini taklit ediyordu, enterprise Ayrıca, modern geliştirme iş akışlarında yaygın olarak güvenilen dahili web paketleri, analitik istemciler, kullanıcı arayüzü temelleri, geliştirici yardımcı programları, bileşen gezginleri, bulut ve Google temalı paketler ve diğer modüller.
Bunlar münferit anormallikler değildi. Bu hafta dikkat çeken şey, aynı paket aileleri genelinde tekrarlanan yayınların ölçeği, adlandırma kalıplarının yeniden kullanımı ve kötü amaçlı paketlerin gerçek yazılım dağıtımında meşru bağımlılıklar gibi görünmek üzere nasıl gizlendiğiydi. pipelines.
Bu haftalık özet, devam eden Kötü Amaçlı Kod Özeti çalışmamızın bir parçasıdır; bu çalışmada yeni tehditleri doğruluyor ve DevSecOps ekiplerinin kendilerini korumalarına yardımcı olmak için uygulanabilir istihbarat sağlıyoruz. pipelineHasar oluşmadan önce.
Bu hafta bulduklarımızı ve bunların neden önemli olduğunu inceleyelim.
| Ekosistem | paket | Tarih |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | Mayıs 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Mayıs 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Mayıs 30, 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | Mayıs 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | Mayıs 30, 2026 |
| npm | @easy-entry/routes:99.9.5 | Mayıs 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Mayıs 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Mayıs 30, 2026 |
| vs kodu | xampp-manager:5.1.3 | Mayıs 30, 2026 |
| npm | @chat-template/auth:1.0.0 | Mayıs 31, 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | Haziran 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | Haziran 1, 2026 |
| npm | nemo-raporlayıcı:1.8.2 | Haziran 1, 2026 |
| npm | cms-github:4.2.4 | Haziran 1, 2026 |
| npm | cms-helpgit:4.2.6 | Haziran 1, 2026 |
| npm | cms-helpgit:4.2.8 | Haziran 1, 2026 |
| npm | cms-storehub:1.3.4 | Haziran 1, 2026 |
| npm | cms-storehub:1.3.5 | Haziran 1, 2026 |
| npm | cms-storehub:1.3.6 | Haziran 1, 2026 |
| pipi | simtooreal-cli:0.3.0 | Haziran 1, 2026 |
| npm | perakende-konum-stratejisi-önyüz:1.1.1 | Haziran 1, 2026 |
| npm | perakende-konum-stratejisi-önyüz:1.1.2 | Haziran 1, 2026 |
| npm | conversa-sdk:2.0.2 | Haziran 1, 2026 |
| npm | veltrix:9.0.0 | Haziran 1, 2026 |
| npm | veltrix:9.0.1 | Haziran 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Haziran 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Haziran 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Haziran 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Haziran 1, 2026 |
| npm | @ownit/core:99.0.0 | Haziran 1, 2026 |
| npm | hastabelgeleri:75.0.0 | Haziran 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Haziran 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Haziran 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Haziran 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Haziran 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Haziran 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Haziran 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Haziran 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Haziran 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | Haziran 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.8 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.12 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.16 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.17 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.18 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.19 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.20 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.21 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.22 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.23 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.24 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.25 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.26 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.27 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.28 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.29 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.30 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.31 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.32 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.41 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.42 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.43 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.44 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.45 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.46 | Haziran 2, 2026 |
| npm | meoo-ui-yardımcıları:1.0.1 | Haziran 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Haziran 2, 2026 |
| npm | eyevox:9.0.1 | Haziran 2, 2026 |
| npm | hassasiyet: 2.5.53 | Haziran 3, 2026 |
| npm | hassasiyet: 2.5.54 | Haziran 3, 2026 |
| npm | hassasiyet: 2.5.55 | Haziran 3, 2026 |
| npm | hassasiyet: 2.5.56 | Haziran 3, 2026 |
| npm | hassasiyet: 2.5.57 | Haziran 3, 2026 |
| npm | hassasiyet: 2.5.61 | Haziran 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Haziran 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Haziran 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Haziran 4, 2026 |
| npm | bağış toplama hizmeti:1.0.0 | Haziran 4, 2026 |
| npm | hassasiyet: 2.5.67 | Haziran 4, 2026 |
| npm | hassasiyet: 2.5.68 | Haziran 4, 2026 |
| npm | vg-interaction-model:40.0.5 | Haziran 4, 2026 |
| npm | internallib_v346:1.0.3 | Haziran 4, 2026 |
| npm | internallib_v346:1.0.5 | Haziran 4, 2026 |
| npm | internallib_v346:1.0.9 | Haziran 4, 2026 |
| npm | yapay zeka-sdk-yardımcıları:0.2.1 | Haziran 4, 2026 |
| npm | yapay zeka-sdk-yardımcıları:0.3.0 | Haziran 4, 2026 |
| npm | yapay zeka-sdk-yardımcıları:0.3.1 | Haziran 4, 2026 |
| npm | yapay zeka-sdk-yardımcıları:1.1.0 | Haziran 4, 2026 |
| npm | yapay zeka-sdk-yardımcıları:1.1.1 | Haziran 4, 2026 |
| npm | yapay zeka-sdk-yardımcıları:1.3.0 | Haziran 4, 2026 |
| npm | yapay zeka-sdk-yardımcıları:1.4.0 | Haziran 4, 2026 |
| npm | yapay zeka-sdk-yardımcıları:1.4.2 | Haziran 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Haziran 4, 2026 |
| npm | hassasiyet: 2.5.0 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.1 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.2 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.3 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.4 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.5 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.13 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.14 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.15 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.33 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.34 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.35 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.36 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.37 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.38 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.58 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.59 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.60 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.62 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.63 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.64 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.65 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.66 | Haziran 5, 2026 |
| npm | hassasiyet: 2.5.69 | Haziran 5, 2026 |
Açık Kaynak Bağımlılıklarınızı Güvenlik Açıklarına ve Kötü Amaçlı Kodlara Karşı Koruyun
Zararlı paketlerin size ulaşmasına izin vermeyin. pipelines. Xygeni Erken Kötü Amaçlı Yazılım Tespiti Ekibinizin en önemli tehditleri gerçek zamanlı olarak görmesini sağlar ve zararlı bağımlılıkları yazılımınıza ulaşmadan önce yakalar.
Bu haftaki özetin de açıkça gösterdiği gibi, kötü amaçlı paket kampanyalarının hacmi ve karmaşıklığı azalmak yerine artıyor. Koordineli sürüm yayma, ödeme modülü taklit etme ve şirket içi gibi görünen paket adları, saldırganların gizlice sızmak için kullandığı taktiklerden sadece bazıları. standard Savunma mekanizmaları. Bu tehditlerin önüne geçmek, periyodik denetimlerden daha fazlasını gerektirir; ekiplerinizin güvendiği her kayıt defterinde sürekli izleme yapılmasını gerektirir.
Xygeni'nin Open Source Security Xygeni çözümü, zararlı paketleri yayınlandığı anda, npm, PyPI ve ötesinde tarar ve engeller. En büyük gerçek dünya riskini oluşturan güvenlik açıklarını bağlamsal olarak önceliklendirerek (ve DevSecOps ekipleriniz için düzeltme yolunu kolaylaştırarak), Xygeni geliştirme sürecini yavaşlatmadan güvenli ve güvenilir yazılım teslimatı sağlamanıza yardımcı olur.




