Xygeni 标志白色
免费试用
预约演示
恶意代码摘要 73

Xygeni 恶意代码摘要 73

目录

必读文章

最新感兴趣的帖子

Almost every week, our malware detection systems scan thousands of new and updated packages across public registries like npm and PyPI. This week was very active.

我们已确认 198 个恶意软件包, primarily across npm, with additional cases in PyPI, OpenVSX, Composer, and VS Code extensions. Several appeared in coordinated clusters, with repeated malicious releases published under the same names or across closely related package families. A standout case was the sensivity package, which flooded npm with over 60 versioned releases across the 2.5.x range. Other notable clusters included ai-sdk-helpers (8 versions targeting AI developers), @antoncallahan/aws-user-helper (7 versions impersonating an AWS utility), @apple-pay-trust@google-pay-trust families (mimicking payment checkout modules), @frengki0707/google-cloud-clone (5 versions spoofing Google Cloud), and cms-storehub, cms-helpgitcms-github (targeting CMS pipelines). Many packages mimicked payment and checkout modules, enterprise and internal web packages, analytics clients, UI foundations, developer utilities, component explorers, cloud- and Google-themed packages, and other modules commonly trusted in modern development workflows.

这些并非孤立的异常情况。本周最引人注目的是同一软件包系列中重复发布的规模之大、命名模式的重用,以及恶意软件如何伪装成合法依赖项,嵌入到真实的软件交付环境中。 pipelines.

本周简报是我们持续更新的恶意代码摘要的一部分,旨在验证新出现的威胁并提供可操作的情报,以帮助 DevSecOps 团队保护其安全。 pipeline在损害发生之前。

让我们分析一下本周的发现及其重要性。

Confirmed Malicious Packages
生态系统 小包装 日期
NPM@cloudplatform-single-spa/administration:99.99.1002026 年 5 月 30 日
NPM@cloudplatform-single-spa/svp-s3-storage:99.99.1002026 年 5 月 30 日
NPM@maximvs1538/os-npm:99.0.02026 年 5 月 30 日
NPM@easy-entry/landing-routes:99.9.52026 年 5 月 30 日
NPM@easy-entry/outside-registration-fop-navigator:99.9.52026 年 5 月 30 日
NPM@easy-entry/routes:99.9.52026 年 5 月 30 日
NPM@t-in-one/form_product_token:5.7.12026 年 5 月 30 日
NPM@capibar.chat/ui-kit:99.5.72026 年 5 月 30 日
VS代码xampp-manager:5.1.32026 年 5 月 30 日
NPM@chat-template/auth:1.0.02026 年 5 月 31 日
NPMjson-to-simple-graphql-schema:1.0.02026 年 6 月 1 日
NPM@gs-select/savings-client-application:99.0.02026 年 6 月 1 日
NPMnemo-reporter:1.8.22026 年 6 月 1 日
NPMcms-github:4.2.42026 年 6 月 1 日
NPMcms-helpgit:4.2.62026 年 6 月 1 日
NPMcms-helpgit:4.2.82026 年 6 月 1 日
NPMcms-storehub:1.3.42026 年 6 月 1 日
NPMcms-storehub:1.3.52026 年 6 月 1 日
NPMcms-storehub:1.3.62026 年 6 月 1 日
pisimtooreal-cli:0.3.02026 年 6 月 1 日
NPMretail-location-strategy-frontend:1.1.12026 年 6 月 1 日
NPMretail-location-strategy-frontend:1.1.22026 年 6 月 1 日
NPMconversa-sdk:2.0.22026 年 6 月 1 日
NPMveltrix:9.0.02026 年 6 月 1 日
NPMveltrix:9.0.12026 年 6 月 1 日
NPMjingmeideshishi:1.0.42026 年 6 月 1 日
NPMjingmeideshishi:1.0.52026 年 6 月 1 日
NPM@tse-digital/core:99.0.02026 年 6 月 1 日
NPM@telenor-se/core:99.0.02026 年 6 月 1 日
NPM@ownit/core:99.0.02026 年 6 月 1 日
NPMpatientdocuments:75.0.02026 年 6 月 1 日
NPM@antoncallahan/aws-user-helper:6767.67.692026 年 6 月 1 日
NPM@antoncallahan/aws-user-helper:6767.67.682026 年 6 月 1 日
NPM@antoncallahan/aws-user-helper:6767.67.822026 年 6 月 1 日
NPM@antoncallahan/aws-user-helper:6767.67.802026 年 6 月 1 日
NPM@antoncallahan/aws-user-helper:6767.67.812026 年 6 月 1 日
NPM@antoncallahan/aws-user-helper:6767.67.832026 年 6 月 1 日
NPM@antoncallahan/aws-user-helper:6767.67.32026 年 6 月 1 日
NPM@emcd-vue/auth:6.4.92026 年 6 月 1 日
NPM@emcd-vue/b2b-pay-form:5.7.42026 年 6 月 1 日
NPM@ccrm/user-storage-api-axios:5.0.12026 年 6 月 2 日
NPMsensivity:2.5.82026 年 6 月 2 日
NPMsensivity:2.5.122026 年 6 月 2 日
NPMsensivity:2.5.162026 年 6 月 2 日
NPMsensivity:2.5.172026 年 6 月 2 日
NPMsensivity:2.5.182026 年 6 月 2 日
NPMsensivity:2.5.192026 年 6 月 2 日
NPMsensivity:2.5.202026 年 6 月 2 日
NPMsensivity:2.5.212026 年 6 月 2 日
NPMsensivity:2.5.222026 年 6 月 2 日
NPMsensivity:2.5.232026 年 6 月 2 日
NPMsensivity:2.5.242026 年 6 月 2 日
NPMsensivity:2.5.252026 年 6 月 2 日
NPMsensivity:2.5.262026 年 6 月 2 日
NPMsensivity:2.5.272026 年 6 月 2 日
NPMsensivity:2.5.282026 年 6 月 2 日
NPMsensivity:2.5.292026 年 6 月 2 日
NPMsensivity:2.5.302026 年 6 月 2 日
NPMsensivity:2.5.312026 年 6 月 2 日
NPMsensivity:2.5.322026 年 6 月 2 日
NPMsensivity:2.5.412026 年 6 月 2 日
NPMsensivity:2.5.422026 年 6 月 2 日
NPMsensivity:2.5.432026 年 6 月 2 日
NPMsensivity:2.5.442026 年 6 月 2 日
NPMsensivity:2.5.452026 年 6 月 2 日
NPMsensivity:2.5.462026 年 6 月 2 日
NPMmeoo-ui-helpers:1.0.12026 年 6 月 2 日
NPM@langgraphjs/toolkit:1.2.102026 年 6 月 2 日
NPMeyevox:9.0.12026 年 6 月 2 日
NPMsensivity:2.5.532026 年 6 月 3 日
NPMsensivity:2.5.542026 年 6 月 3 日
NPMsensivity:2.5.552026 年 6 月 3 日
NPMsensivity:2.5.562026 年 6 月 3 日
NPMsensivity:2.5.572026 年 6 月 3 日
NPMsensivity:2.5.612026 年 6 月 3 日
NPM@sentry-browser-sdk/profiling-node:1.0.12026 年 6 月 4 日
NPM@sentry-browser-sdk/profiling-node:1.0.22026 年 6 月 4 日
NPM@sentry-browser-sdk/profiling-node:1.0.52026 年 6 月 4 日
NPMfundraiserserv:1.0.02026 年 6 月 4 日
NPMsensivity:2.5.672026 年 6 月 4 日
NPMsensivity:2.5.682026 年 6 月 4 日
NPMvg-interaction-model:40.0.52026 年 6 月 4 日
NPMinternallib_v346:1.0.32026 年 6 月 4 日
NPMinternallib_v346:1.0.52026 年 6 月 4 日
NPMinternallib_v346:1.0.92026 年 6 月 4 日
NPMai-sdk-helpers:0.2.12026 年 6 月 4 日
NPMai-sdk-helpers:0.3.02026 年 6 月 4 日
NPMai-sdk-helpers:0.3.12026 年 6 月 4 日
NPMai-sdk-helpers:1.1.02026 年 6 月 4 日
NPMai-sdk-helpers:1.1.12026 年 6 月 4 日
NPMai-sdk-helpers:1.3.02026 年 6 月 4 日
NPMai-sdk-helpers:1.4.02026 年 6 月 4 日
NPMai-sdk-helpers:1.4.22026 年 6 月 4 日
NPM@achuthvp/postinstall-poc:1.0.32026 年 6 月 4 日
NPMsensivity:2.5.02026 年 6 月 5 日
NPMsensivity:2.5.12026 年 6 月 5 日
NPMsensivity:2.5.22026 年 6 月 5 日
NPMsensivity:2.5.32026 年 6 月 5 日
NPMsensivity:2.5.42026 年 6 月 5 日
NPMsensivity:2.5.52026 年 6 月 5 日
NPMsensivity:2.5.132026 年 6 月 5 日
NPMsensivity:2.5.142026 年 6 月 5 日
NPMsensivity:2.5.152026 年 6 月 5 日
NPMsensivity:2.5.332026 年 6 月 5 日
NPMsensivity:2.5.342026 年 6 月 5 日
NPMsensivity:2.5.352026 年 6 月 5 日
NPMsensivity:2.5.362026 年 6 月 5 日
NPMsensivity:2.5.372026 年 6 月 5 日
NPMsensivity:2.5.382026 年 6 月 5 日
NPMsensivity:2.5.582026 年 6 月 5 日
NPMsensivity:2.5.592026 年 6 月 5 日
NPMsensivity:2.5.602026 年 6 月 5 日
NPMsensivity:2.5.622026 年 6 月 5 日
NPMsensivity:2.5.632026 年 6 月 5 日
NPMsensivity:2.5.642026 年 6 月 5 日
NPMsensivity:2.5.652026 年 6 月 5 日
NPMsensivity:2.5.662026 年 6 月 5 日
NPMsensivity:2.5.692026 年 6 月 5 日


保护您的开源依赖项免受漏洞和恶意代码的侵害

Don’t let malicious packages reach your pipelines. Xygeni 早期恶意软件检测 gives your team real-time visibility into the threats that matter most,  catching harmful dependencies before they ever touch your software.

As this week’s digest makes clear, the volume and sophistication of malicious package campaigns is not slowing down. Coordinated version flooding, payment module impersonation, and internal-sounding package names are just some of the tactics attackers are using to slip past standard defenses. Staying ahead of these threats requires more than periodic audits, it demands continuous monitoring across every registry your teams depend on.

Xygeni 的 Open Source Security solution scans and blocks harmful packages at the point of publication, across npm, PyPI, and beyond. By contextually prioritizing the vulnerabilities that pose the greatest real-world risk (and streamlining the remediation path for your DevSecOps teams) Xygeni helps you maintain secure, reliable software delivery without slowing development down.

MEW Malware Detection
sca-tools-软件-成分分析工具
确定软件风险的优先级、进行补救并加以保护
7-day免费试用
无需信用卡
开始免费试用

保护您的软件开发和交付

使用 Xygeni 产品套件

免费试用
参加产品之旅
Xygeni 标志白色

© 2026 Xygeni。保留所有权利

LinkedIn式 X-推特 Youtube

产品

相关资源

关于我们

法律