Kötü Amaçlı Kod Özeti 73

Xygeni Kötü Amaçlı Kod Özeti 73

Neredeyse her haftaKötü amaçlı yazılım tespit sistemlerimiz, npm ve PyPI gibi halka açık kayıt defterlerindeki binlerce yeni ve güncellenmiş paketi tarıyor. Bu hafta çok hareketli geçti.

Onayladık. 198 kötü amaçlı paketÖzellikle npm genelinde, ayrıca PyPI, OpenVSX, Composer ve VS Code uzantılarında da vakalar görüldü. Birçoğu koordineli kümeler halinde ortaya çıktı ve aynı isimler altında veya yakından ilişkili paket aileleri genelinde tekrarlanan kötü amaçlı sürümler yayınlandı. Öne çıkan bir vaka ise şuydu: sensivity Bu paket, npm'yi 2.5.x aralığında 60'tan fazla sürümle doldurdu. Diğer dikkat çekici kümelenmeler arasında şunlar yer aldı: ai-sdk-helpers (Yapay zeka geliştiricilerini hedefleyen 8 versiyon), @antoncallahan/aws-user-helper (AWS yardımcı programını taklit eden 7 sürüm), @apple-pay-trust hem de @google-pay-trust aileler (ödeme çıkış modüllerini taklit eden), @frengki0707/google-cloud-clone (Google Cloud'u taklit eden 5 versiyon) ve cms-storehub, cms-helpgit, ve cms-github (CMS'yi hedefleme) pipeline(s). Birçok paket ödeme ve ödeme işlemlerini taklit ediyordu, enterprise Ayrıca, modern geliştirme iş akışlarında yaygın olarak güvenilen dahili web paketleri, analitik istemciler, kullanıcı arayüzü temelleri, geliştirici yardımcı programları, bileşen gezginleri, bulut ve Google temalı paketler ve diğer modüller.

Bunlar münferit anormallikler değildi. Bu hafta dikkat çeken şey, aynı paket aileleri genelinde tekrarlanan yayınların ölçeği, adlandırma kalıplarının yeniden kullanımı ve kötü amaçlı paketlerin gerçek yazılım dağıtımında meşru bağımlılıklar gibi görünmek üzere nasıl gizlendiğiydi. pipelines.

Bu haftalık özet, devam eden Kötü Amaçlı Kod Özeti çalışmamızın bir parçasıdır; bu çalışmada yeni tehditleri doğruluyor ve DevSecOps ekiplerinin kendilerini korumalarına yardımcı olmak için uygulanabilir istihbarat sağlıyoruz. pipelineHasar oluşmadan önce.

Bu hafta bulduklarımızı ve bunların neden önemli olduğunu inceleyelim.

Onaylanmış Zararlı Paketler
Ekosistem paket Tarih
npm@cloudplatform-single-spa/administration:99.99.100Mayıs 30, 2026
npm@cloudplatform-single-spa/svp-s3-storage:99.99.100Mayıs 30, 2026
npm@maximvs1538/os-npm:99.0.0Mayıs 30, 2026
npm@easy-entry/landing-routes:99.9.5Mayıs 30, 2026
npm@easy-entry/outside-registration-fop-navigator:99.9.5Mayıs 30, 2026
npm@easy-entry/routes:99.9.5Mayıs 30, 2026
npm@t-in-one/form_product_token:5.7.1Mayıs 30, 2026
npm@capibar.chat/ui-kit:99.5.7Mayıs 30, 2026
vs koduxampp-manager:5.1.3Mayıs 30, 2026
npm@chat-template/auth:1.0.0Mayıs 31, 2026
npmjson-to-simple-graphql-schema:1.0.0Haziran 1, 2026
npm@gs-select/savings-client-application:99.0.0Haziran 1, 2026
npmnemo-raporlayıcı:1.8.2Haziran 1, 2026
npmcms-github:4.2.4Haziran 1, 2026
npmcms-helpgit:4.2.6Haziran 1, 2026
npmcms-helpgit:4.2.8Haziran 1, 2026
npmcms-storehub:1.3.4Haziran 1, 2026
npmcms-storehub:1.3.5Haziran 1, 2026
npmcms-storehub:1.3.6Haziran 1, 2026
pipisimtooreal-cli:0.3.0Haziran 1, 2026
npmperakende-konum-stratejisi-önyüz:1.1.1Haziran 1, 2026
npmperakende-konum-stratejisi-önyüz:1.1.2Haziran 1, 2026
npmconversa-sdk:2.0.2Haziran 1, 2026
npmveltrix:9.0.0Haziran 1, 2026
npmveltrix:9.0.1Haziran 1, 2026
npmjingmeideshishi:1.0.4Haziran 1, 2026
npmjingmeideshishi:1.0.5Haziran 1, 2026
npm@tse-digital/core:99.0.0Haziran 1, 2026
npm@telenor-se/core:99.0.0Haziran 1, 2026
npm@ownit/core:99.0.0Haziran 1, 2026
npmhastabelgeleri:75.0.0Haziran 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.69Haziran 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.68Haziran 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.82Haziran 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.80Haziran 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.81Haziran 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.83Haziran 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.3Haziran 1, 2026
npm@emcd-vue/auth:6.4.9Haziran 1, 2026
npm@emcd-vue/b2b-pay-form:5.7.4Haziran 1, 2026
npm@ccrm/user-storage-api-axios:5.0.1Haziran 2, 2026
npmhassasiyet: 2.5.8Haziran 2, 2026
npmhassasiyet: 2.5.12Haziran 2, 2026
npmhassasiyet: 2.5.16Haziran 2, 2026
npmhassasiyet: 2.5.17Haziran 2, 2026
npmhassasiyet: 2.5.18Haziran 2, 2026
npmhassasiyet: 2.5.19Haziran 2, 2026
npmhassasiyet: 2.5.20Haziran 2, 2026
npmhassasiyet: 2.5.21Haziran 2, 2026
npmhassasiyet: 2.5.22Haziran 2, 2026
npmhassasiyet: 2.5.23Haziran 2, 2026
npmhassasiyet: 2.5.24Haziran 2, 2026
npmhassasiyet: 2.5.25Haziran 2, 2026
npmhassasiyet: 2.5.26Haziran 2, 2026
npmhassasiyet: 2.5.27Haziran 2, 2026
npmhassasiyet: 2.5.28Haziran 2, 2026
npmhassasiyet: 2.5.29Haziran 2, 2026
npmhassasiyet: 2.5.30Haziran 2, 2026
npmhassasiyet: 2.5.31Haziran 2, 2026
npmhassasiyet: 2.5.32Haziran 2, 2026
npmhassasiyet: 2.5.41Haziran 2, 2026
npmhassasiyet: 2.5.42Haziran 2, 2026
npmhassasiyet: 2.5.43Haziran 2, 2026
npmhassasiyet: 2.5.44Haziran 2, 2026
npmhassasiyet: 2.5.45Haziran 2, 2026
npmhassasiyet: 2.5.46Haziran 2, 2026
npmmeoo-ui-yardımcıları:1.0.1Haziran 2, 2026
npm@langgraphjs/toolkit:1.2.10Haziran 2, 2026
npmeyevox:9.0.1Haziran 2, 2026
npmhassasiyet: 2.5.53Haziran 3, 2026
npmhassasiyet: 2.5.54Haziran 3, 2026
npmhassasiyet: 2.5.55Haziran 3, 2026
npmhassasiyet: 2.5.56Haziran 3, 2026
npmhassasiyet: 2.5.57Haziran 3, 2026
npmhassasiyet: 2.5.61Haziran 3, 2026
npm@sentry-browser-sdk/profiling-node:1.0.1Haziran 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.2Haziran 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.5Haziran 4, 2026
npmbağış toplama hizmeti:1.0.0Haziran 4, 2026
npmhassasiyet: 2.5.67Haziran 4, 2026
npmhassasiyet: 2.5.68Haziran 4, 2026
npmvg-interaction-model:40.0.5Haziran 4, 2026
npminternallib_v346:1.0.3Haziran 4, 2026
npminternallib_v346:1.0.5Haziran 4, 2026
npminternallib_v346:1.0.9Haziran 4, 2026
npmyapay zeka-sdk-yardımcıları:0.2.1Haziran 4, 2026
npmyapay zeka-sdk-yardımcıları:0.3.0Haziran 4, 2026
npmyapay zeka-sdk-yardımcıları:0.3.1Haziran 4, 2026
npmyapay zeka-sdk-yardımcıları:1.1.0Haziran 4, 2026
npmyapay zeka-sdk-yardımcıları:1.1.1Haziran 4, 2026
npmyapay zeka-sdk-yardımcıları:1.3.0Haziran 4, 2026
npmyapay zeka-sdk-yardımcıları:1.4.0Haziran 4, 2026
npmyapay zeka-sdk-yardımcıları:1.4.2Haziran 4, 2026
npm@achuthvp/postinstall-poc:1.0.3Haziran 4, 2026
npmhassasiyet: 2.5.0Haziran 5, 2026
npmhassasiyet: 2.5.1Haziran 5, 2026
npmhassasiyet: 2.5.2Haziran 5, 2026
npmhassasiyet: 2.5.3Haziran 5, 2026
npmhassasiyet: 2.5.4Haziran 5, 2026
npmhassasiyet: 2.5.5Haziran 5, 2026
npmhassasiyet: 2.5.13Haziran 5, 2026
npmhassasiyet: 2.5.14Haziran 5, 2026
npmhassasiyet: 2.5.15Haziran 5, 2026
npmhassasiyet: 2.5.33Haziran 5, 2026
npmhassasiyet: 2.5.34Haziran 5, 2026
npmhassasiyet: 2.5.35Haziran 5, 2026
npmhassasiyet: 2.5.36Haziran 5, 2026
npmhassasiyet: 2.5.37Haziran 5, 2026
npmhassasiyet: 2.5.38Haziran 5, 2026
npmhassasiyet: 2.5.58Haziran 5, 2026
npmhassasiyet: 2.5.59Haziran 5, 2026
npmhassasiyet: 2.5.60Haziran 5, 2026
npmhassasiyet: 2.5.62Haziran 5, 2026
npmhassasiyet: 2.5.63Haziran 5, 2026
npmhassasiyet: 2.5.64Haziran 5, 2026
npmhassasiyet: 2.5.65Haziran 5, 2026
npmhassasiyet: 2.5.66Haziran 5, 2026
npmhassasiyet: 2.5.69Haziran 5, 2026


Açık Kaynak Bağımlılıklarınızı Güvenlik Açıklarına ve Kötü Amaçlı Kodlara Karşı Koruyun

Zararlı paketlerin size ulaşmasına izin vermeyin. pipelines. Xygeni Erken Kötü Amaçlı Yazılım Tespiti Ekibinizin en önemli tehditleri gerçek zamanlı olarak görmesini sağlar ve zararlı bağımlılıkları yazılımınıza ulaşmadan önce yakalar.

Bu haftaki özetin de açıkça gösterdiği gibi, kötü amaçlı paket kampanyalarının hacmi ve karmaşıklığı azalmak yerine artıyor. Koordineli sürüm yayma, ödeme modülü taklit etme ve şirket içi gibi görünen paket adları, saldırganların gizlice sızmak için kullandığı taktiklerden sadece bazıları. standard Savunma mekanizmaları. Bu tehditlerin önüne geçmek, periyodik denetimlerden daha fazlasını gerektirir; ekiplerinizin güvendiği her kayıt defterinde sürekli izleme yapılmasını gerektirir.

Xygeni'nin Open Source Security Xygeni çözümü, zararlı paketleri yayınlandığı anda, npm, PyPI ve ötesinde tarar ve engeller. En büyük gerçek dünya riskini oluşturan güvenlik açıklarını bağlamsal olarak önceliklendirerek (ve DevSecOps ekipleriniz için düzeltme yolunu kolaylaştırarak), Xygeni geliştirme sürecini yavaşlatmadan güvenli ve güvenilir yazılım teslimatı sağlamanıza yardımcı olur.

sca-tools-software-composition-analysis-tools
Yazılım risklerinizi önceliklendirin, giderin ve güvence altına alın.
Ücretsiz hesabınızı alın.
Hiçbir kredi kartı gerekmektedir.

Yazılım Geliştirme ve Teslimatınızı Güvence Altına Alın

Xygeni Ürün Paketi ile