幾乎每週我們的惡意軟體偵測系統會掃描 npm 和 PyPI 等公共註冊表中數千個新增和更新的軟體套件。本週掃描活動非常活躍。
我們已確認 198 惡意軟體包攻擊主要集中在 npm 上,PyPI、OpenVSX、Composer 和 VS Code 擴充中也有案例。一些攻擊以協同群集的形式出現,惡意軟體包以相同的名稱或在密切相關的軟體包家族中重複發布。一個突出的案例是… sensivity 該軟體包向 npm 發布了超過 60 個版本,涵蓋 2.5.x 範圍。其他值得注意的集群包括: ai-sdk-helpers (共 8 個版本,針對 AI 開發人員) @antoncallahan/aws-user-helper (7 個模仿 AWS 實用程式的版本) @apple-pay-trust 以及 @google-pay-trust 家庭(模仿支付結帳模組), @frengki0707/google-cloud-clone (5 個版本模仿 Google Cloud),以及 cms-storehub, cms-helpgit以及 cms-github (針對CMS) pipelines)。許多軟體包模仿了付款和結帳模組, enterprise 以及現代開發工作流程中常用的內部 Web 軟體包、分析客戶端、UI 基礎、開發人員實用程式、元件瀏覽器、雲端和 Google 主題軟體包以及其他模組。
這些並非孤立的異常情況。本週最引人注目的是同一軟體包系列中重複發布的規模之大、命名模式的重用,以及惡意軟體如何偽裝成合法依賴項,嵌入到真實的軟體交付環境中。 pipelines.
本週簡報是我們持續更新的惡意程式碼摘要的一部分,旨在驗證新出現的威脅並提供可操作的情報,以幫助 DevSecOps 團隊保護其安全。 pipeline在損害發生之前。
讓我們來分析一下本週的發現以及它為何重要。
| 生態系統 | 小包裝 | 日期 |
|---|---|---|
| NPM | @cloudplatform-single-spa/administration:99.99.100 | 2026 年 5 月 30 日 |
| NPM | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 2026 年 5 月 30 日 |
| NPM | @maximvs1538/os-npm:99.0.0 | 2026 年 5 月 30 日 |
| NPM | @easy-entry/landing-routes:99.9.5 | 2026 年 5 月 30 日 |
| NPM | @easy-entry/outside-registration-fop-navigator:99.9.5 | 2026 年 5 月 30 日 |
| NPM | @easy-entry/routes:99.9.5 | 2026 年 5 月 30 日 |
| NPM | @t-in-one/form_product_token:5.7.1 | 2026 年 5 月 30 日 |
| NPM | @capibar.chat/ui-kit:99.5.7 | 2026 年 5 月 30 日 |
| VS代碼 | xampp-manager:5.1.3 | 2026 年 5 月 30 日 |
| NPM | @chat-template/auth:1.0.0 | 2026 年 5 月 31 日 |
| NPM | json-to-simple-graphql-schema:1.0.0 | 2026 年 6 月 1 日 |
| NPM | @gs-select/savings-client-application:99.0.0 | 2026 年 6 月 1 日 |
| NPM | nemo-reporter:1.8.2 | 2026 年 6 月 1 日 |
| NPM | cms-github:4.2.4 | 2026 年 6 月 1 日 |
| NPM | cms-helpgit:4.2.6 | 2026 年 6 月 1 日 |
| NPM | cms-helpgit:4.2.8 | 2026 年 6 月 1 日 |
| NPM | cms-storehub:1.3.4 | 2026 年 6 月 1 日 |
| NPM | cms-storehub:1.3.5 | 2026 年 6 月 1 日 |
| NPM | cms-storehub:1.3.6 | 2026 年 6 月 1 日 |
| pi | simtooreal-cli:0.3.0 | 2026 年 6 月 1 日 |
| NPM | 零售選址策略前端:1.1.1 | 2026 年 6 月 1 日 |
| NPM | 零售選址策略前端:1.1.2 | 2026 年 6 月 1 日 |
| NPM | conversa-sdk:2.0.2 | 2026 年 6 月 1 日 |
| NPM | Veltrix:9.0.0 | 2026 年 6 月 1 日 |
| NPM | Veltrix:9.0.1 | 2026 年 6 月 1 日 |
| NPM | 精美的詩詩:1.0.4 | 2026 年 6 月 1 日 |
| NPM | 精美的詩詩:1.0.5 | 2026 年 6 月 1 日 |
| NPM | @tse-digital/core:99.0.0 | 2026 年 6 月 1 日 |
| NPM | @telenor-se/core:99.0.0 | 2026 年 6 月 1 日 |
| NPM | @ownit/core:99.0.0 | 2026 年 6 月 1 日 |
| NPM | 病患文件:75.0.0 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.69 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.68 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.82 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.80 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.81 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.83 | 2026 年 6 月 1 日 |
| NPM | @antoncallahan/aws-user-helper:6767.67.3 | 2026 年 6 月 1 日 |
| NPM | @emcd-vue/auth:6.4.9 | 2026 年 6 月 1 日 |
| NPM | @emcd-vue/b2b-pay-form:5.7.4 | 2026 年 6 月 1 日 |
| NPM | @ccrm/user-storage-api-axios:5.0.1 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.8 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.12 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.16 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.17 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.18 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.19 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.20 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.21 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.22 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.23 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.24 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.25 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.26 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.27 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.28 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.29 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.30 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.31 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.32 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.41 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.42 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.43 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.44 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.45 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.46 | 2026 年 6 月 2 日 |
| NPM | meoo-ui-helpers:1.0.1 | 2026 年 6 月 2 日 |
| NPM | @langgraphjs/toolkit:1.2.10 | 2026 年 6 月 2 日 |
| NPM | eyevox:9.0.1 | 2026 年 6 月 2 日 |
| NPM | 靈敏度:2.5.53 | 2026 年 6 月 3 日 |
| NPM | 靈敏度:2.5.54 | 2026 年 6 月 3 日 |
| NPM | 靈敏度:2.5.55 | 2026 年 6 月 3 日 |
| NPM | 靈敏度:2.5.56 | 2026 年 6 月 3 日 |
| NPM | 靈敏度:2.5.57 | 2026 年 6 月 3 日 |
| NPM | 靈敏度:2.5.61 | 2026 年 6 月 3 日 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.1 | 2026 年 6 月 4 日 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.2 | 2026 年 6 月 4 日 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.5 | 2026 年 6 月 4 日 |
| NPM | 募款服務:1.0.0 | 2026 年 6 月 4 日 |
| NPM | 靈敏度:2.5.67 | 2026 年 6 月 4 日 |
| NPM | 靈敏度:2.5.68 | 2026 年 6 月 4 日 |
| NPM | vg-interaction-model:40.0.5 | 2026 年 6 月 4 日 |
| NPM | internallib_v346:1.0.3 | 2026 年 6 月 4 日 |
| NPM | internallib_v346:1.0.5 | 2026 年 6 月 4 日 |
| NPM | internallib_v346:1.0.9 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:0.2.1 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:0.3.0 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:0.3.1 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:1.1.0 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:1.1.1 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:1.3.0 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:1.4.0 | 2026 年 6 月 4 日 |
| NPM | ai-sdk-helpers:1.4.2 | 2026 年 6 月 4 日 |
| NPM | @achuthvp/postinstall-poc:1.0.3 | 2026 年 6 月 4 日 |
| NPM | 靈敏度:2.5.0 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.1 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.2 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.3 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.4 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.5 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.13 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.14 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.15 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.33 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.34 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.35 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.36 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.37 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.38 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.58 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.59 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.60 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.62 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.63 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.64 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.65 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.66 | 2026 年 6 月 5 日 |
| NPM | 靈敏度:2.5.69 | 2026 年 6 月 5 日 |
保護您的開源依賴項免受漏洞和惡意程式碼的侵害
不要讓惡意軟體包到達您的電腦 pipelines. Xygeni早期惡意軟體檢測 讓您的團隊即時了解最重要的威脅,在有害依賴項影響您的軟體之前將其捕獲。
正如本週摘要所揭示的,惡意軟體攻擊活動的數量和複雜程度並未放緩。協同版本轟炸、冒充支付模組以及使用聽起來像是內部程式碼的軟體包名稱,只是攻擊者用來繞過安全防護的眾多手段中的一部分。 standard 防禦措施。要領先這些威脅,需要的不僅是定期審計,還需要對團隊依賴的每個註冊表進行持續監控。
Xygeni 的 Open Source Security 該解決方案會在發佈時掃描並阻止有害軟體包,覆蓋 npm、PyPI 及其他平台。 Xygeni 會根據實際情況優先處理最具實際風險的漏洞(並簡化 DevSecOps 團隊的修復流程),幫助您在不減慢開發速度的前提下,保持安全可靠的軟體交付。




