Майже щотижня, наші системи виявлення шкідливого програмного забезпечення сканують тисячі нових та оновлених пакетів у публічних реєстрах, таких як npm та PyPI. Цей тиждень був дуже активним.
Ми підтвердили 198 шкідливих пакетів, переважно в npm, з додатковими випадками в розширеннях PyPI, OpenVSX, Composer та VS Code. Кілька з'являлися в скоординованих кластерах, з повторюваними шкідливими релізами, опублікованими під однаковими назвами або в тісно пов'язаних сімействах пакетів. Яскравим випадком був sensivity пакет, який затопив npm понад 60 версіями в діапазоні 2.5.x. Інші помітні кластери включали ai-sdk-helpers (8 версій, орієнтованих на розробників штучного інтелекту), @antoncallahan/aws-user-helper (7 версій, що видають себе за утиліту AWS), @apple-pay-trust та @google-pay-trust сім'ї (імітуючи модулі оплати), @frengki0707/google-cloud-clone (5 версій, що підробляють Google Cloud), та cms-storehub, cms-helpgit та cms-github (орієнтація на CMS) pipelines). Багато пакетів імітували модулі оплати та оформлення замовлення, enterprise та внутрішні веб-пакети, клієнти аналітики, основи інтерфейсу користувача, утиліти для розробників, дослідники компонентів, хмарні та Google-тематичні пакети, а також інші модулі, яким зазвичай довіряють у сучасних робочих процесах розробки.
Це не були поодинокі аномалії. Цього тижня впадали в око масштаби повторних публікацій в одних і тих самих сімействах пакетів, повторне використання шаблонів іменування та те, як шкідливі пакети маскувалися під легітимні залежності всередині реального програмного забезпечення. pipelines.
Цей щотижневий огляд є частиною нашого постійного огляду шкідливого коду, де ми перевіряємо нові загрози та надаємо практичну інформацію, щоб допомогти командам DevSecOps захистити свої pipelineдо того, як виникне пошкодження.
Давайте розглянемо, що ми знайшли цього тижня, і чому це важливо.
| Екосистема | пакет | Дата |
|---|---|---|
| нмм | @cloudplatform-single-spa/адміністрування:99.99.100 | Травень 30, 2026 |
| нмм | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Травень 30, 2026 |
| нмм | @maximvs1538/os-npm:99.0.0 | Травень 30, 2026 |
| нмм | @easy-entry/landing-routes:99.9.5 | Травень 30, 2026 |
| нмм | @easy-entry/outside-registration-fop-navigator:99.9.5 | Травень 30, 2026 |
| нмм | @easy-entry/маршрути:99.9.5 | Травень 30, 2026 |
| нмм | @t-in-one/form_product_token:5.7.1 | Травень 30, 2026 |
| нмм | @capibar.chat/ui-kit:99.5.7 | Травень 30, 2026 |
| vscode | xampp-менеджер:5.1.3 | Травень 30, 2026 |
| нмм | @шаблон-чату/автентифікація:1.0.0 | Травень 31, 2026 |
| нмм | json-to-simple-graphql-schema:1.0.0 | Червень 1, 2026 |
| нмм | @gs-select/savings-client-application:99.0.0 | Червень 1, 2026 |
| нмм | nemo-репортер:1.8.2 | Червень 1, 2026 |
| нмм | cms-github:4.2.4 | Червень 1, 2026 |
| нмм | cms-helpgit:4.2.6 | Червень 1, 2026 |
| нмм | cms-helpgit:4.2.8 | Червень 1, 2026 |
| нмм | cms-storehub:1.3.4 | Червень 1, 2026 |
| нмм | cms-storehub:1.3.5 | Червень 1, 2026 |
| нмм | cms-storehub:1.3.6 | Червень 1, 2026 |
| пайпі | simtooreal-cli:0.3.0 | Червень 1, 2026 |
| нмм | стратегія-розташування-роздрібної-торгівлі-інтерфейс:1.1.1 | Червень 1, 2026 |
| нмм | стратегія-розташування-роздрібної-торгівлі-інтерфейс:1.1.2 | Червень 1, 2026 |
| нмм | conversa-sdk:2.0.2 | Червень 1, 2026 |
| нмм | велтрікс:9.0.0 | Червень 1, 2026 |
| нмм | велтрікс:9.0.1 | Червень 1, 2026 |
| нмм | jingmeideshishi:1.0.4 | Червень 1, 2026 |
| нмм | jingmeideshishi:1.0.5 | Червень 1, 2026 |
| нмм | @tse-digital/core:99.0.0 | Червень 1, 2026 |
| нмм | @telenor-se/core:99.0.0 | Червень 1, 2026 |
| нмм | @ownit/core:99.0.0 | Червень 1, 2026 |
| нмм | документи пацієнта: 75.0.0 | Червень 1, 2026 |
| нмм | @antoncallahan/aws-user-helper:6767.67.69 | Червень 1, 2026 |
| нмм | @antoncallahan/aws-user-helper:6767.67.68 | Червень 1, 2026 |
| нмм | @antoncallahan/aws-user-helper:6767.67.82 | Червень 1, 2026 |
| нмм | @antoncallahan/aws-user-helper:6767.67.80 | Червень 1, 2026 |
| нмм | @antoncallahan/aws-user-helper:6767.67.81 | Червень 1, 2026 |
| нмм | @antoncallahan/aws-user-helper:6767.67.83 | Червень 1, 2026 |
| нмм | @antoncallahan/aws-user-helper:6767.67.3 | Червень 1, 2026 |
| нмм | @emcd-vue/auth:6.4.9 | Червень 1, 2026 |
| нмм | @emcd-vue/b2b-pay-form:5.7.4 | Червень 1, 2026 |
| нмм | @ccrm/user-storage-api-axios:5.0.1 | Червень 2, 2026 |
| нмм | чутливість: 2.5.8 | Червень 2, 2026 |
| нмм | чутливість: 2.5.12 | Червень 2, 2026 |
| нмм | чутливість: 2.5.16 | Червень 2, 2026 |
| нмм | чутливість: 2.5.17 | Червень 2, 2026 |
| нмм | чутливість: 2.5.18 | Червень 2, 2026 |
| нмм | чутливість: 2.5.19 | Червень 2, 2026 |
| нмм | чутливість: 2.5.20 | Червень 2, 2026 |
| нмм | чутливість: 2.5.21 | Червень 2, 2026 |
| нмм | чутливість: 2.5.22 | Червень 2, 2026 |
| нмм | чутливість: 2.5.23 | Червень 2, 2026 |
| нмм | чутливість: 2.5.24 | Червень 2, 2026 |
| нмм | чутливість: 2.5.25 | Червень 2, 2026 |
| нмм | чутливість: 2.5.26 | Червень 2, 2026 |
| нмм | чутливість: 2.5.27 | Червень 2, 2026 |
| нмм | чутливість: 2.5.28 | Червень 2, 2026 |
| нмм | чутливість: 2.5.29 | Червень 2, 2026 |
| нмм | чутливість: 2.5.30 | Червень 2, 2026 |
| нмм | чутливість: 2.5.31 | Червень 2, 2026 |
| нмм | чутливість: 2.5.32 | Червень 2, 2026 |
| нмм | чутливість: 2.5.41 | Червень 2, 2026 |
| нмм | чутливість: 2.5.42 | Червень 2, 2026 |
| нмм | чутливість: 2.5.43 | Червень 2, 2026 |
| нмм | чутливість: 2.5.44 | Червень 2, 2026 |
| нмм | чутливість: 2.5.45 | Червень 2, 2026 |
| нмм | чутливість: 2.5.46 | Червень 2, 2026 |
| нмм | meoo-ui-helpers:1.0.1 | Червень 2, 2026 |
| нмм | @langgraphjs/інструментарій:1.2.10 | Червень 2, 2026 |
| нмм | eyevox:9.0.1 | Червень 2, 2026 |
| нмм | чутливість: 2.5.53 | Червень 3, 2026 |
| нмм | чутливість: 2.5.54 | Червень 3, 2026 |
| нмм | чутливість: 2.5.55 | Червень 3, 2026 |
| нмм | чутливість: 2.5.56 | Червень 3, 2026 |
| нмм | чутливість: 2.5.57 | Червень 3, 2026 |
| нмм | чутливість: 2.5.61 | Червень 3, 2026 |
| нмм | @sentry-browser-sdk/profiling-node:1.0.1 | Червень 4, 2026 |
| нмм | @sentry-browser-sdk/profiling-node:1.0.2 | Червень 4, 2026 |
| нмм | @sentry-browser-sdk/profiling-node:1.0.5 | Червень 4, 2026 |
| нмм | служба збору коштів:1.0.0 | Червень 4, 2026 |
| нмм | чутливість: 2.5.67 | Червень 4, 2026 |
| нмм | чутливість: 2.5.68 | Червень 4, 2026 |
| нмм | vg-модель-взаємодії:40.0.5 | Червень 4, 2026 |
| нмм | internallib_v346:1.0.3 | Червень 4, 2026 |
| нмм | internallib_v346:1.0.5 | Червень 4, 2026 |
| нмм | internallib_v346:1.0.9 | Червень 4, 2026 |
| нмм | ai-sdk-helpers:0.2.1 | Червень 4, 2026 |
| нмм | ai-sdk-helpers:0.3.0 | Червень 4, 2026 |
| нмм | ai-sdk-helpers:0.3.1 | Червень 4, 2026 |
| нмм | ai-sdk-helpers:1.1.0 | Червень 4, 2026 |
| нмм | ai-sdk-helpers:1.1.1 | Червень 4, 2026 |
| нмм | ai-sdk-helpers:1.3.0 | Червень 4, 2026 |
| нмм | ai-sdk-helpers:1.4.0 | Червень 4, 2026 |
| нмм | ai-sdk-helpers:1.4.2 | Червень 4, 2026 |
| нмм | @achuthvp/postinstall-poc:1.0.3 | Червень 4, 2026 |
| нмм | чутливість: 2.5.0 | Червень 5, 2026 |
| нмм | чутливість: 2.5.1 | Червень 5, 2026 |
| нмм | чутливість: 2.5.2 | Червень 5, 2026 |
| нмм | чутливість: 2.5.3 | Червень 5, 2026 |
| нмм | чутливість: 2.5.4 | Червень 5, 2026 |
| нмм | чутливість: 2.5.5 | Червень 5, 2026 |
| нмм | чутливість: 2.5.13 | Червень 5, 2026 |
| нмм | чутливість: 2.5.14 | Червень 5, 2026 |
| нмм | чутливість: 2.5.15 | Червень 5, 2026 |
| нмм | чутливість: 2.5.33 | Червень 5, 2026 |
| нмм | чутливість: 2.5.34 | Червень 5, 2026 |
| нмм | чутливість: 2.5.35 | Червень 5, 2026 |
| нмм | чутливість: 2.5.36 | Червень 5, 2026 |
| нмм | чутливість: 2.5.37 | Червень 5, 2026 |
| нмм | чутливість: 2.5.38 | Червень 5, 2026 |
| нмм | чутливість: 2.5.58 | Червень 5, 2026 |
| нмм | чутливість: 2.5.59 | Червень 5, 2026 |
| нмм | чутливість: 2.5.60 | Червень 5, 2026 |
| нмм | чутливість: 2.5.62 | Червень 5, 2026 |
| нмм | чутливість: 2.5.63 | Червень 5, 2026 |
| нмм | чутливість: 2.5.64 | Червень 5, 2026 |
| нмм | чутливість: 2.5.65 | Червень 5, 2026 |
| нмм | чутливість: 2.5.66 | Червень 5, 2026 |
| нмм | чутливість: 2.5.69 | Червень 5, 2026 |
Захистіть свої залежності з відкритим кодом від вразливостей та шкідливого коду
Не дозволяйте шкідливим пакетам досягати вашого pipelines. Раннє виявлення шкідливого програмного забезпечення Xygeni надає вашій команді уявлення про найважливіші загрози в режимі реального часу, виявляючи шкідливі залежності ще до того, як вони торкнуться вашого програмного забезпечення.
Як видно з огляду цього тижня, обсяг та витонченість кампаній зі шкідливими пакетами не зменшуються. Скоординоване перевантаження версіями, імітація платіжного модуля та назви пакетів, що звучать ідентично внутрішнім, – це лише деякі з тактик, які використовують зловмисники, щоб прослизнути повз. standard захист. Щоб випередити ці загрози, потрібно більше, ніж періодичні аудити, це вимагає постійного моніторингу кожного реєстру, від якого залежать ваші команди.
Ксігені Open Source Security Рішення сканує та блокує шкідливі пакети в момент публікації, в npm, PyPI та інших технологіях. Завдяки контекстуальному пріоритетуванню вразливостей, які становлять найбільший реальний ризик (та оптимізації шляху усунення для ваших команд DevSecOps), Xygeni допомагає вам підтримувати безпечну та надійну розробку програмного забезпечення, не уповільнюючи розробку.




