Bron bob wythnos, mae ein systemau canfod meddalwedd faleisus yn sganio miloedd o becynnau newydd a rhai wedi'u diweddaru ar draws cofrestrfeydd cyhoeddus fel npm a PyPI. Nid oedd yr wythnos hon yn eithriad.
Fe wnaethon ni gadarnhau dros 130 o becynnau maleisus rhwng Mehefin 7 a Mehefin 12, 2026, yn bennaf ar draws npm, gydag achosion ychwanegol yn PyPI. Ymddangosodd nifer mewn clystyrau cydlynol, datganiadau maleisus dro ar ôl tro a gyhoeddwyd o dan yr un enwau neu ar draws teuluoedd pecynnau cysylltiedig.
Yr achos amlycaf yr wythnos hon oedd sensivity, a orlifodd npm gyda dros 40 o ryddhadau fersiwn ar draws yr ystod 2.5.x, wedi'u cadarnhau dros sawl diwrnod. Roedd clystyrau nodedig eraill yn cynnwys ton o @solana-labs typosquats sy'n targedu ecosystem Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — ar draws dau ymgyrch gyhoeddi ar wahân ar Fehefin 7 a Mehefin 8), y @nstrlabs teulu (sdk, ixel, utils, cydrannau-wedi'u rhannu, api-client, auth — ymosodiad dryswch dibyniaeth yn erbyn gofod enwau pecyn mewnol), y @klapp-login-platform grŵp (native-sdk, oidc, llwybrau — dynwared platfform dilysu), internallib_v557 ac internallib_v984 (fersiynau lluosog o dwyllwyr llyfrgell fewnol wedi'u drysu), pocteszep (6 fersiwn wedi'u cyhoeddi ar 11 Mehefin), a chlwstwr o gyfleustodau crypto a Web3 gan gynnwys blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, a farming-tools-12. Mae morningstar-design-system ymddangosodd y pecyn mewn tair fersiwn ar Fehefin 10, gan efelychu system ddylunio ariannol adnabyddus. Yn PyPI, helixagentai, telegramlite, a cdjeez wedi'u cadarnhau drwy gydol yr wythnos.
Nid anomaleddau ynysig oedd y rhain. Yr hyn a safodd allan yr wythnos hon oedd crynodiad ymosodiadau dryswch dibyniaeth yn erbyn gofodau enwau pecynnau mewnol, cyhoeddi aml-ddydd parhaus y sensivity clwstwr, a pharhau i dargedu offer Web3 a Solana, patrwm sydd wedi cyflymu'n sylweddol yn 2026.
Mae'r ciplun wythnosol hwn yn rhan o'n Crynodeb Cod Maleisus parhaus, lle rydym yn dilysu bygythiadau newydd ac yn darparu gwybodaeth ymarferol i helpu timau DevSecOps i amddiffyn eu pipelines cyn i ddifrod ddigwydd.
Gadewch i ni ddadansoddi'r hyn a ganfuom yr wythnos hon a pham ei fod yn bwysig.
Peidiwch â gadael i becynnau maleisus gyrraedd cynhyrchiad
Mae'r pecynnau y mae eich timau'n dibynnu arnynt yn cael eu defnyddio fwyfwy fel pwynt mynediad. Canfod Maleiswedd Cynnar Xygeni yn monitro cofrestrfeydd mewn amser real, felly mae bygythiadau fel y rhai yng nghrynodeb yr wythnos hon yn cael eu rhwystro cyn iddynt gyrraedd eich adeiladau.
Mae canfyddiadau'r wythnos hon yn ein hatgoffa bod y tactegau'n mynd yn fwy bwriadol. Nid yw gorlifo fersiynau, dynwared gofod enwau, ac ymgyrchoedd cydlynol aml-ddydd yn achosion ymylol mwyach, maent yn... standard llyfr chwarae ymosodwyr. Ni all sganiau untro ac archwiliadau â llaw gadw i fyny ag ymgyrchoedd sy'n cyhoeddi dwsinau o fersiynau ar draws sawl diwrnod a chofrestrfa ar yr un pryd.
Xygeni's Open Source Security Mae'r ateb yn rhoi gwelededd parhaus i'ch timau DevSecOps ar draws npm, PyPI, a thu hwnt, gan ganfod pecynnau niweidiol ar adeg eu cyhoeddi, blaenoriaethu'r hyn sy'n peri risg wirioneddol y gellir ei hecsbloetio, a byrhau'r llwybr o ganfod i adfer. Felly gall eich timau anfon yn gyflym heb beryglu diogelwch.




