几乎每周我们的恶意软件检测系统会扫描 npm 和 PyPI 等公共注册表中数千个新增和更新的软件包。本周扫描活动非常活跃。
我们已确认 198 个恶意软件包攻击主要集中在 npm 上,PyPI、OpenVSX、Composer 和 VS Code 扩展中也有案例。一些攻击以协同集群的形式出现,恶意软件包以相同的名称或在密切相关的软件包家族中重复发布。一个突出的案例是…… sensivity 该软件包向 npm 发布了超过 60 个版本,涵盖 2.5.x 范围。其他值得注意的集群包括: ai-sdk-helpers (共 8 个版本,面向 AI 开发人员) @antoncallahan/aws-user-helper (7 个模仿 AWS 实用程序的版本) @apple-pay-trust 和 @google-pay-trust 家庭(模仿支付结账模块), @frengki0707/google-cloud-clone (5 个版本模仿 Google Cloud),以及 cms-storehub, cms-helpgit和 cms-github (针对CMS) pipelines)。许多软件包模仿了支付和结账模块, enterprise 以及现代开发工作流程中常用的内部 Web 软件包、分析客户端、UI 基础、开发人员实用程序、组件浏览器、云和 Google 主题软件包以及其他模块。
这些并非孤立的异常情况。本周最引人注目的是同一软件包系列中重复发布的规模之大、命名模式的重用,以及恶意软件如何伪装成合法依赖项,嵌入到真实的软件交付环境中。 pipelines.
本周简报是我们持续更新的恶意代码摘要的一部分,旨在验证新出现的威胁并提供可操作的情报,以帮助 DevSecOps 团队保护其安全。 pipeline在损害发生之前。
让我们分析一下本周的发现及其重要性。
| 生态系统 | 小包装 | 日期 |
|---|---|---|
| NPM | @cloudplatform-single-spa/administration:99.99.100 | 2026 年 5 月 30 日 |
| NPM | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 2026 年 5 月 30 日 |
| NPM | @maximvs1538/os-npm:99.0.0 | 2026 年 5 月 30 日 |
| NPM | @easy-entry/landing-routes:99.9.5 | 2026 年 5 月 30 日 |
| NPM | @easy-entry/outside-registration-fop-navigator:99.9.5 | 2026 年 5 月 30 日 |
| NPM | @easy-entry/routes:99.9.5 | 2026 年 5 月 30 日 |
| NPM | @t-in-one/form_product_token:5.7.1 | 2026 年 5 月 30 日 |
| NPM | @capibar.chat/ui-kit:99.5.7 | 2026 年 5 月 30 日 |
| VS代码 | xampp-manager:5.1.3 | 2026 年 5 月 30 日 |
| NPM | @chat-template/auth:1.0.0 | 2026 年 5 月 31 日 |
| NPM | json-to-simple-graphql-schema:1.0.0 | 2026 年 6 月 1 日 |
| NPM | @gs-select/savings-client-application:99.0.0 | 2026 年 6 月 1 日 |
| NPM | nemo-reporter:1.8.2 | 2026 年 6 月 1 日 |
| NPM | cms-github:4.2.4 | 2026 年 6 月 1 日 |
| NPM | cms-helpgit:4.2.6 | 2026 年 6 月 1 日 |
| NPM | cms-helpgit:4.2.8 | 2026 年 6 月 1 日 |
| NPM | cms-storehub:1.3.4 | 2026 年 6 月 1 日 |
| NPM | cms-storehub:1.3.5 | 2026 年 6 月 1 日 |
| NPM | cms-storehub:1.3.6 | 2026 年 6 月 1 日 |
| pi | simtooreal-cli:0.3.0 | 2026 年 6 月 1 日 |
| NPM | 零售选址策略前端:1.1.1 | 2026 年 6 月 1 日 |
| NPM | 零售选址策略前端:1.1.2 | 2026 年 6 月 1 日 |
| NPM | conversa-sdk:2.0.2 | 2026 年 6 月 1 日 |
| NPM | Veltrix:9.0.0 | 2026 年 6 月 1 日 |
| NPM | Veltrix:9.0.1 | 2026 年 6 月 1 日 |
| NPM | 精美的诗诗:1.0.4 | 2026 年 6 月 1 日 |
| NPM | 精美的诗诗:1.0.5 | 2026 年 6 月 1 日 |
| NPM | @tse-digital/core:99.0.0 | 2026 年 6 月 1 日 |
| NPM | @telenor-se/core:99.0.0 | 2026 年 6 月 1 日 |
| NPM | @ownit/core:99.0.0 | 2026 年 6 月 1 日 |
| NPM | 患者文档:75.0.0 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.69 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.68 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.82 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.80 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.81 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.83 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.3 | 2026 年 6 月 1 日 |
| NPM | @emcd-vue/auth:6.4.9 | 2026 年 6 月 1 日 |
| NPM | @emcd-vue/b2b-pay-form:5.7.4 | 2026 年 6 月 1 日 |
| NPM | @ccrm/user-storage-api-axios:5.0.1 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.8 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.12 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.16 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.17 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.18 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.19 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.20 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.21 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.22 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.23 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.24 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.25 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.26 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.27 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.28 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.29 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.30 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.31 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.32 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.41 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.42 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.43 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.44 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.45 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.46 | 2026 年 6 月 2 日 |
| NPM | meoo-ui-helpers:1.0.1 | 2026 年 6 月 2 日 |
| NPM | @langgraphjs/toolkit:1.2.10 | 2026 年 6 月 2 日 |
| NPM | eyevox:9.0.1 | 2026 年 6 月 2 日 |
| NPM | 灵敏度:2.5.53 | 2026 年 6 月 3 日 |
| NPM | 灵敏度:2.5.54 | 2026 年 6 月 3 日 |
| NPM | 灵敏度:2.5.55 | 2026 年 6 月 3 日 |
| NPM | 灵敏度:2.5.56 | 2026 年 6 月 3 日 |
| NPM | 灵敏度:2.5.57 | 2026 年 6 月 3 日 |
| NPM | 灵敏度:2.5.61 | 2026 年 6 月 3 日 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.1 | 2026 年 6 月 4 日 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.2 | 2026 年 6 月 4 日 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.5 | 2026 年 6 月 4 日 |
| NPM | 筹款服务:1.0.0 | 2026 年 6 月 4 日 |
| NPM | 灵敏度:2.5.67 | 2026 年 6 月 4 日 |
| NPM | 灵敏度:2.5.68 | 2026 年 6 月 4 日 |
| NPM | vg-interaction-model:40.0.5 | 2026 年 6 月 4 日 |
| NPM | internallib_v346:1.0.3 | 2026 年 6 月 4 日 |
| NPM | internallib_v346:1.0.5 | 2026 年 6 月 4 日 |
| NPM | internallib_v346:1.0.9 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:0.2.1 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:0.3.0 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:0.3.1 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:1.1.0 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:1.1.1 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:1.3.0 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:1.4.0 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:1.4.2 | 2026 年 6 月 4 日 |
| NPM | @achuthvp/postinstall-poc:1.0.3 | 2026 年 6 月 4 日 |
| NPM | 灵敏度:2.5.0 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.1 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.2 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.3 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.4 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.5 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.13 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.14 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.15 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.33 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.34 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.35 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.36 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.37 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.38 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.58 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.59 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.60 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.62 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.63 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.64 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.65 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.66 | 2026 年 6 月 5 日 |
| NPM | 灵敏度:2.5.69 | 2026 年 6 月 5 日 |
保护您的开源依赖项免受漏洞和恶意代码的侵害
不要让恶意软件包到达您的电脑 pipelines. Xygeni 早期恶意软件检测 让您的团队实时了解最重要的威胁,在有害依赖项影响您的软件之前将其捕获。
正如本周摘要所揭示的,恶意软件攻击活动的数量和复杂程度并未放缓。协同版本轰炸、冒充支付模块以及使用听起来像是内部代码的软件包名称,只是攻击者用来绕过安全防护的众多手段中的一部分。 standard 防御措施。要领先于这些威胁,需要的不仅仅是定期审计,还需要对团队依赖的每个注册表进行持续监控。
Xygeni 的 Open Source Security 该解决方案会在发布时扫描并阻止有害软件包,覆盖 npm、PyPI 及其他平台。Xygeni 会根据实际情况优先处理最具实际风险的漏洞(并简化 DevSecOps 团队的修复流程),帮助您在不减慢开发速度的前提下,保持安全可靠的软件交付。




