Амаль кожны тыдзень, нашы сістэмы выяўлення шкоднасных праграм скануюць тысячы новых і абноўленых пакетаў у публічных рэестрах, такіх як npm і PyPI. Гэты тыдзень не стаў выключэннем.
Мы пацвердзілі больш за 130 шкоднасных пакетаў паміж 7 і 12 чэрвеня 2026 года, пераважна ў npm, а таксама дадатковыя выпадкі ў PyPI. Некалькі з іх з'яўляліся ў каардынаваных кластарах, паўторных шкоднасных рэлізах, апублікаваных пад аднымі і тымі ж назвамі або ў цесна звязаных сямействах пакетаў.
Найбольш яскравым выпадкам гэтага тыдня быў sensivity, які заваліў npm больш чым 40 версіямі рэлізаў у дыяпазоне 2.5.x, што пацвердзілася на працягу некалькіх дзён. Сярод іншых прыкметных кластараў была хваля @solana-labs тыпасквоты, накіраваныя на экасістэму Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — у рамках дзвюх асобных публікацыйных кампаній 7 і 8 чэрвеня), @nstrlabs сямейства (sdk, ixel, utils, shared-components, api-client, auth — атака блытаніны залежнасцей супраць унутранай прасторы імёнаў пакетаў), @klapp-login-platform група (native-sdk, oidc, маршруты — імітуючы платформу аўтэнтыфікацыі), internallib_v557 і internallib_v984 (некалькі версій заблытаных унутраных бібліятэчных самазванцаў), pocteszep (6 версій, апублікаваных 11 чэрвеня), а таксама кластар крыпта- і Web3-ўтыліт, у тым ліку blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, і farming-tools-12. morningstar-design-system Пакет з'явіўся ў трох версіях 10 чэрвеня, імітуючы вядомую сістэму фінансавага дызайну. У PyPI, helixagentai, telegramlite, і cdjeez былі пацверджаны на працягу тыдня.
Гэта не былі асобныя анамаліі. На гэтым тыдні кідалася ў вочы канцэнтрацыя нападаў на ўнутраныя прасторы імёнаў пакетаў з мэтай збіцця з залежнасцей, а таксама працяглая шматдзённая публікацыя... sensivity кластар і працяглае нацэльванне на інструменты Web3 і Solana, тэндэнцыя, якая значна паскорылася ў 2026 годзе.
Гэты штотыднёвы агляд з'яўляецца часткай нашага пастаяннага агляду шкоднаснага кода, дзе мы правяраем новыя пагрозы і даем практычную інфармацыю, каб дапамагчы камандам DevSecOps абараніць сваіх pipelineда таго, як узнікне пашкоджанне.
Давайце разгледзім, што мы знайшлі на гэтым тыдні і чаму гэта важна.
Не дапускайце шкоднасных пакетаў да прадукцыйнай сістэмы
Пакеты, ад якіх залежаць вашы каманды, усё часцей выкарыстоўваюцца ў якасці кропкі ўваходу. Ранняе выяўленне шкоднасных праграм Xygeni кантралюе рэестры ў рэжыме рэальнага часу, таму пагрозы, падобныя да тых, што апісаны ў дайджэсце гэтага тыдня, блакуюцца яшчэ да таго, як яны дасягнуць вашых зборак.
Вынікі гэтага тыдня нагадваюць нам пра тое, што такая тактыка становіцца больш прадуманай. Перапаўненне версій, імітацыя прасторы імёнаў і шматдзённыя скаардынаваныя кампаніі больш не з'яўляюцца памежнымі выпадкамі, яны... standard стратэгія зламысніка. Аднаразовыя сканы і ручныя аўдыты не могуць паспяваць за кампаніямі, якія публікуюць дзясяткі версій на працягу некалькіх дзён і рэестраў адначасова.
Ксігені Open Source Security Рашэнне дае вашым камандам DevSecOps пастаянную бачнасць npm, PyPI і іншых тэхналогій, выяўляючы шкоднасныя пакеты ў момант публікацыі, прыярытызуючы тое, што ўяўляе рэальную рызыку для злоўжывання, і скарачаючы шлях ад выяўлення да выпраўлення. Такім чынам, вашы каманды могуць хутка рэалізоўваць задачы без шкоды для бяспекі.




