Pob wythnos, mae ein systemau canfod meddalwedd faleisus yn sganio miloedd o becynnau newydd a rhai wedi'u diweddaru ar draws cofrestrfeydd cyhoeddus fel npm a PyPI. Nid oedd yr wythnos hon yn eithriad.
Fe wnaethon ni gadarnhau dros 200 o becynnau maleisus rhwng Mehefin 12fed a Mehefin 19eg, 2026, yn bennaf ar draws npm, gydag achosion ychwanegol yn PyPI. Ymddangosodd nifer mewn clystyrau cydlynol, datganiadau maleisus dro ar ôl tro a gyhoeddwyd o dan yr un enwau neu ar draws teuluoedd pecynnau cysylltiedig.
Yr achos amlycaf yr wythnos hon oedd sensivity, a orlifodd npm gyda dros 70 o ryddhadau fersiwn ar draws yr ystod 2.5.x, wedi'u cadarnhau dros sawl diwrnod. Roedd clystyrau nodedig eraill yn cynnwys ton o @solana-labs typosquats yn targedu ecosystem Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — ar draws dau ymgyrch gyhoeddi ar wahân ar 7 Mehefin a 8 Mehefin), y @nstrlabs teulu (sdk, ixel, utils, shared-components, api-client, auth — ymosodiad dryswch dibyniaeth yn erbyn gofod enwau pecyn mewnol), y @klapp-login-platform grŵp (native-sdk, oidc, routes — dynwared platfform dilysu), internallib_v557 ac internallib_v984 (fersiynau lluosog o dwyllwyr llyfrgell fewnol wedi'u drysu), pocteszep (6 fersiwn wedi'u cyhoeddi ar 11 Mehefin), a chlwstwr o gyfleustodau crypto a Web3 gan gynnwys blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, a farming-tools-12. Mae morningstar-design-system ymddangosodd y pecyn mewn tair fersiwn ar Fehefin 10, gan efelychu system ddylunio ariannol adnabyddus.
O 13 Mehefin ymlaen, cyflymodd y cyflymder. houzidawang806 roedd clwstwr yn unig yn cyfrif am dros 25 o fersiynau a gyhoeddwyd mewn un diwrnod, ynghyd â brodyr a chwiorydd houzidawang807 ac houzidawang808. Mae metrics-pipeline-d8k2 ailgyhoeddwyd y pecyn yn barhaus ar draws 21 fersiwn rhwng Mehefin 15 a Mehefin 18 — ymgyrch osgoi barhaus a gynlluniwyd i aros ar flaen y rhestrau blocio. Y friendly-greeter-demo Parhaodd y pecyn i ailymddangos ar draws fersiynau drwy gydol yr wythnos. Daeth ymdrechion dryswch dibyniaeth newydd i'r amlwg o dan xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, a sawl un arall — pob un yn cario rhifau fersiwn chwyddedig yn yr ystod 999.x. Clwstwr ffres o enwau cyfleustodau generig gydag ôl-ddodiaid hecsagonol ar hap (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) ymddangosodd ar Fehefin 18–19, yn gyson â chofrestru swmp wedi'i sgriptio. Daeth yr wythnos i ben gyda trimprompt, trimprompt-hub, claude-cup, a web3-crypto-address-utils wedi'i gadarnhau ar 19 Mehefin. Yn PyPI, neuralbridge-sdk (pum fersiwn ar draws 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1, a aiaddin-agent wedi'u cadarnhau drwy gydol yr wythnos.
Nid anomaleddau ynysig oedd y rhain. Yr hyn a safodd allan yr wythnos hon oedd crynodiad ymosodiadau dryswch dibyniaeth yn erbyn gofodau enwau pecynnau mewnol, yr ymgyrchoedd cyhoeddi aml-ddydd parhaus a gynlluniwyd i oroesi'r rhai a dynnwyd i lawr, targedu parhaus offer Web3 a DeFi (patrwm sydd wedi cyflymu'n sylweddol yn 2026), a defnydd cynyddol o enwau pecynnau generig, tebyg i sŵn a beiriannwyd i osgoi canfod trwy gymysgu â choed dibyniaeth arferol.
Mae'r ciplun wythnosol hwn yn rhan o'n Crynodeb Cod Maleisus parhaus, lle rydym yn dilysu bygythiadau newydd ac yn darparu gwybodaeth ymarferol i helpu timau DevSecOps i amddiffyn eu pipelinecyn i ddifrod ddigwydd. Gadewch i ni ddadansoddi'r hyn a ganfuom yr wythnos hon a pham ei fod yn bwysig.
Peidiwch â gadael i ymgyrchoedd cydlynol gyrraedd eich Pipelines
Nid oedd crynodeb yr wythnos hon yn ymwneud ag un bygythiad yn unig; roedd yn ymwneud â graddfa. Dros 200 o becynnau wedi'u cadarnhau, llifogydd fersiynau parhaus dros sawl diwrnod, ac ymgyrchoedd cofrestru swmp wedi'u sgriptio yn rhedeg yn gyflymach nag y gall adolygiadau â llaw olrhain. Nid yw'r ymosodwyr yn aros i chi ddal i fyny.
Canfod Maleiswedd Cynnar Xygeni yn monitro npm, PyPI, a chofrestrfeydd eraill yn barhaus, gan nodi bygythiadau ar adeg eu cyhoeddi, nid ar ôl iddynt lanio mewn adeiladwaith. Pan fydd ymgyrch yn cyhoeddi 21 fersiwn o'r un pecyn maleisus dros bedwar diwrnod, nid yw sgan wythnosol yn dal dim mewn pryd.
Xygeni's Open Source Security mae'r ateb yn rhoi'r gwelededd a'r blaenoriaethu amser real sydd eu hangen ar eich timau DevSecOps i aros ar flaen y gad o ran y math hwn o bwysau cydlynol, felly mae eich pipelines aros yn lân heb arafu eich timau.




