Збірник шкідливого коду 73

Дайджест шкідливого коду Xygeni 73

Майже щотижня, наші системи виявлення шкідливого програмного забезпечення сканують тисячі нових та оновлених пакетів у публічних реєстрах, таких як npm та PyPI. Цей тиждень був дуже активним.

Ми підтвердили 198 шкідливих пакетів, переважно в npm, з додатковими випадками в розширеннях PyPI, OpenVSX, Composer та VS Code. Кілька з'являлися в скоординованих кластерах, з повторюваними шкідливими релізами, опублікованими під однаковими назвами або в тісно пов'язаних сімействах пакетів. Яскравим випадком був sensivity пакет, який затопив npm понад 60 версіями в діапазоні 2.5.x. Інші помітні кластери включали ai-sdk-helpers (8 версій, орієнтованих на розробників штучного інтелекту), @antoncallahan/aws-user-helper (7 версій, що видають себе за утиліту AWS), @apple-pay-trust та @google-pay-trust сім'ї (імітуючи модулі оплати), @frengki0707/google-cloud-clone (5 версій, що підробляють Google Cloud), та cms-storehub, cms-helpgit та cms-github (орієнтація на CMS) pipelines). Багато пакетів імітували модулі оплати та оформлення замовлення, enterprise та внутрішні веб-пакети, клієнти аналітики, основи інтерфейсу користувача, утиліти для розробників, дослідники компонентів, хмарні та Google-тематичні пакети, а також інші модулі, яким зазвичай довіряють у сучасних робочих процесах розробки.

Це не були поодинокі аномалії. Цього тижня впадали в око масштаби повторних публікацій в одних і тих самих сімействах пакетів, повторне використання шаблонів іменування та те, як шкідливі пакети маскувалися під легітимні залежності всередині реального програмного забезпечення. pipelines.

Цей щотижневий огляд є частиною нашого постійного огляду шкідливого коду, де ми перевіряємо нові загрози та надаємо практичну інформацію, щоб допомогти командам DevSecOps захистити свої pipelineдо того, як виникне пошкодження.

Давайте розглянемо, що ми знайшли цього тижня, і чому це важливо.

Підтверджені шкідливі пакети
Екосистема пакет Дата
нмм@cloudplatform-single-spa/адміністрування:99.99.100Травень 30, 2026
нмм@cloudplatform-single-spa/svp-s3-storage:99.99.100Травень 30, 2026
нмм@maximvs1538/os-npm:99.0.0Травень 30, 2026
нмм@easy-entry/landing-routes:99.9.5Травень 30, 2026
нмм@easy-entry/outside-registration-fop-navigator:99.9.5Травень 30, 2026
нмм@easy-entry/маршрути:99.9.5Травень 30, 2026
нмм@t-in-one/form_product_token:5.7.1Травень 30, 2026
нмм@capibar.chat/ui-kit:99.5.7Травень 30, 2026
vscodexampp-менеджер:5.1.3Травень 30, 2026
нмм@шаблон-чату/автентифікація:1.0.0Травень 31, 2026
нммjson-to-simple-graphql-schema:1.0.0Червень 1, 2026
нмм@gs-select/savings-client-application:99.0.0Червень 1, 2026
нммnemo-репортер:1.8.2Червень 1, 2026
нммcms-github:4.2.4Червень 1, 2026
нммcms-helpgit:4.2.6Червень 1, 2026
нммcms-helpgit:4.2.8Червень 1, 2026
нммcms-storehub:1.3.4Червень 1, 2026
нммcms-storehub:1.3.5Червень 1, 2026
нммcms-storehub:1.3.6Червень 1, 2026
пайпіsimtooreal-cli:0.3.0Червень 1, 2026
нммстратегія-розташування-роздрібної-торгівлі-інтерфейс:1.1.1Червень 1, 2026
нммстратегія-розташування-роздрібної-торгівлі-інтерфейс:1.1.2Червень 1, 2026
нммconversa-sdk:2.0.2Червень 1, 2026
нммвелтрікс:9.0.0Червень 1, 2026
нммвелтрікс:9.0.1Червень 1, 2026
нммjingmeideshishi:1.0.4Червень 1, 2026
нммjingmeideshishi:1.0.5Червень 1, 2026
нмм@tse-digital/core:99.0.0Червень 1, 2026
нмм@telenor-se/core:99.0.0Червень 1, 2026
нмм@ownit/core:99.0.0Червень 1, 2026
нммдокументи пацієнта: 75.0.0Червень 1, 2026
нмм@antoncallahan/aws-user-helper:6767.67.69Червень 1, 2026
нмм@antoncallahan/aws-user-helper:6767.67.68Червень 1, 2026
нмм@antoncallahan/aws-user-helper:6767.67.82Червень 1, 2026
нмм@antoncallahan/aws-user-helper:6767.67.80Червень 1, 2026
нмм@antoncallahan/aws-user-helper:6767.67.81Червень 1, 2026
нмм@antoncallahan/aws-user-helper:6767.67.83Червень 1, 2026
нмм@antoncallahan/aws-user-helper:6767.67.3Червень 1, 2026
нмм@emcd-vue/auth:6.4.9Червень 1, 2026
нмм@emcd-vue/b2b-pay-form:5.7.4Червень 1, 2026
нмм@ccrm/user-storage-api-axios:5.0.1Червень 2, 2026
нммчутливість: 2.5.8Червень 2, 2026
нммчутливість: 2.5.12Червень 2, 2026
нммчутливість: 2.5.16Червень 2, 2026
нммчутливість: 2.5.17Червень 2, 2026
нммчутливість: 2.5.18Червень 2, 2026
нммчутливість: 2.5.19Червень 2, 2026
нммчутливість: 2.5.20Червень 2, 2026
нммчутливість: 2.5.21Червень 2, 2026
нммчутливість: 2.5.22Червень 2, 2026
нммчутливість: 2.5.23Червень 2, 2026
нммчутливість: 2.5.24Червень 2, 2026
нммчутливість: 2.5.25Червень 2, 2026
нммчутливість: 2.5.26Червень 2, 2026
нммчутливість: 2.5.27Червень 2, 2026
нммчутливість: 2.5.28Червень 2, 2026
нммчутливість: 2.5.29Червень 2, 2026
нммчутливість: 2.5.30Червень 2, 2026
нммчутливість: 2.5.31Червень 2, 2026
нммчутливість: 2.5.32Червень 2, 2026
нммчутливість: 2.5.41Червень 2, 2026
нммчутливість: 2.5.42Червень 2, 2026
нммчутливість: 2.5.43Червень 2, 2026
нммчутливість: 2.5.44Червень 2, 2026
нммчутливість: 2.5.45Червень 2, 2026
нммчутливість: 2.5.46Червень 2, 2026
нммmeoo-ui-helpers:1.0.1Червень 2, 2026
нмм@langgraphjs/інструментарій:1.2.10Червень 2, 2026
нммeyevox:9.0.1Червень 2, 2026
нммчутливість: 2.5.53Червень 3, 2026
нммчутливість: 2.5.54Червень 3, 2026
нммчутливість: 2.5.55Червень 3, 2026
нммчутливість: 2.5.56Червень 3, 2026
нммчутливість: 2.5.57Червень 3, 2026
нммчутливість: 2.5.61Червень 3, 2026
нмм@sentry-browser-sdk/profiling-node:1.0.1Червень 4, 2026
нмм@sentry-browser-sdk/profiling-node:1.0.2Червень 4, 2026
нмм@sentry-browser-sdk/profiling-node:1.0.5Червень 4, 2026
нммслужба збору коштів:1.0.0Червень 4, 2026
нммчутливість: 2.5.67Червень 4, 2026
нммчутливість: 2.5.68Червень 4, 2026
нммvg-модель-взаємодії:40.0.5Червень 4, 2026
нммinternallib_v346:1.0.3Червень 4, 2026
нммinternallib_v346:1.0.5Червень 4, 2026
нммinternallib_v346:1.0.9Червень 4, 2026
нммai-sdk-helpers:0.2.1Червень 4, 2026
нммai-sdk-helpers:0.3.0Червень 4, 2026
нммai-sdk-helpers:0.3.1Червень 4, 2026
нммai-sdk-helpers:1.1.0Червень 4, 2026
нммai-sdk-helpers:1.1.1Червень 4, 2026
нммai-sdk-helpers:1.3.0Червень 4, 2026
нммai-sdk-helpers:1.4.0Червень 4, 2026
нммai-sdk-helpers:1.4.2Червень 4, 2026
нмм@achuthvp/postinstall-poc:1.0.3Червень 4, 2026
нммчутливість: 2.5.0Червень 5, 2026
нммчутливість: 2.5.1Червень 5, 2026
нммчутливість: 2.5.2Червень 5, 2026
нммчутливість: 2.5.3Червень 5, 2026
нммчутливість: 2.5.4Червень 5, 2026
нммчутливість: 2.5.5Червень 5, 2026
нммчутливість: 2.5.13Червень 5, 2026
нммчутливість: 2.5.14Червень 5, 2026
нммчутливість: 2.5.15Червень 5, 2026
нммчутливість: 2.5.33Червень 5, 2026
нммчутливість: 2.5.34Червень 5, 2026
нммчутливість: 2.5.35Червень 5, 2026
нммчутливість: 2.5.36Червень 5, 2026
нммчутливість: 2.5.37Червень 5, 2026
нммчутливість: 2.5.38Червень 5, 2026
нммчутливість: 2.5.58Червень 5, 2026
нммчутливість: 2.5.59Червень 5, 2026
нммчутливість: 2.5.60Червень 5, 2026
нммчутливість: 2.5.62Червень 5, 2026
нммчутливість: 2.5.63Червень 5, 2026
нммчутливість: 2.5.64Червень 5, 2026
нммчутливість: 2.5.65Червень 5, 2026
нммчутливість: 2.5.66Червень 5, 2026
нммчутливість: 2.5.69Червень 5, 2026


Захистіть свої залежності з відкритим кодом від вразливостей та шкідливого коду

Не дозволяйте шкідливим пакетам досягати вашого pipelines. Раннє виявлення шкідливого програмного забезпечення Xygeni надає вашій команді уявлення про найважливіші загрози в режимі реального часу, виявляючи шкідливі залежності ще до того, як вони торкнуться вашого програмного забезпечення.

Як видно з огляду цього тижня, обсяг та витонченість кампаній зі шкідливими пакетами не зменшуються. Скоординоване перевантаження версіями, імітація платіжного модуля та назви пакетів, що звучать ідентично внутрішнім, – це лише деякі з тактик, які використовують зловмисники, щоб прослизнути повз. standard захист. Щоб випередити ці загрози, потрібно більше, ніж періодичні аудити, це вимагає постійного моніторингу кожного реєстру, від якого залежать ваші команди.

Ксігені Open Source Security Рішення сканує та блокує шкідливі пакети в момент публікації, в npm, PyPI та інших технологіях. Завдяки контекстуальному пріоритетуванню вразливостей, які становлять найбільший реальний ризик (та оптимізації шляху усунення для ваших команд DevSecOps), Xygeni допомагає вам підтримувати безпечну та надійну розробку програмного забезпечення, не уповільнюючи розробку.

інструменти-для-аналізу-складу-програмного-засобу-sca
Визначте пріоритети, усуньте та захистіть ризики, пов'язані з програмним забезпеченням
Отримайте свій безкоштовний обліковий запис.
Не потрібна кредитна картка.

Забезпечте розробку та доставку програмного забезпечення

з пакетом продуктів Xygeni