Iga nädal, skannivad meie pahavara tuvastussüsteemid tuhandeid uusi ja uuendatud pakette avalikes registrites, näiteks npm ja PyPI. See nädal polnud erand.
Ajavahemikul 12. juunist kuni 19. juunini 2026 kinnitasime üle 200 pahatahtliku paketi, peamiselt npm-i ulatuses, lisajuhtumeid tuvastati PyPI-s. Mitmed neist esinesid koordineeritud klastrites, korduvate pahatahtlike väljalasetena, mis avaldati samade nimede all või tihedalt seotud paketiperekondades.
Selle nädala silmapaistev juhtum oli sensivity, mis ujutas npm-i üle enam kui 70 versioonitud väljalaskega 2.5.x vahemikus, mis kinnitati mitme päeva jooksul. Teiste märkimisväärsete klastrite hulka kuulus laine @solana-labs Solana ökosüsteemi sihtivad tüposkvaadid (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — kahe eraldi avaldamiskampaania jooksul 7. ja 8. juunil) @nstrlabs perekond (sdk, ixel, utils, shared-components, api-client, auth — sõltuvuse segaduse rünnak sisemise paketi nimeruumi vastu), @klapp-login-platform Grupp (native-sdk, oidc, routes — autentimisplatvormi jäljendamine), internallib_v557 ja internallib_v984 (mitu versiooni hägustatud sisemiste teekide petturitest), pocteszep (6 versiooni avaldati 11. juunil) ja krüpto- ja Web3-utiliitide klaster, mis sisaldab blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87ja farming-tools-12. morningstar-design-system pakett ilmus 10. juunil kolmes versioonis, imiteerides tuntud finantsdisaini süsteemi.
Alates 13. juunist tempo kiirenes. houzidawang806 ainuüksi klaster moodustas ühe päeva jooksul avaldatud üle 25 versiooni, millele lisandusid õed-vennad houzidawang807 ja houzidawang808. metrics-pipeline-d8k2 paketti avaldati pidevalt 21 versioonis 15. juuni ja 18. juuni vahel – see oli pidev vältimiskampaania, mille eesmärk oli mustnimekirjadest ees püsida. friendly-greeter-demo pakett ilmus nädala jooksul erinevates versioonides uuesti. Uued sõltuvuste segaduse tekitamise katsed ilmusid alla xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesja mitmed teised – kõik paisutatud versiooninumbritega vahemikus 999.x. Uus kogum üldisi utiliitide nimesid juhuslike heksaedisjäreliittega (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) ilmus 18.–19. juunil, mis on kooskõlas skriptitud hulgiregistreerimisega. Nädal lõppes trimprompt, trimprompt-hub, claude-cupja web3-crypto-address-utils kinnitatud 19. juunil. PyPI-s neuralbridge-sdk (viis versiooni versioonides 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1ja aiaddin-agent kinnitati nädala jooksul.
Need ei olnud isoleeritud anomaaliad. Sel nädalal torkas silma sõltuvussegaduse rünnakute koondumine sisemiste paketinimeruumide vastu, pidevad mitmepäevased avaldamiskampaaniad, mille eesmärk oli üle elada eemaldamised, Web3 ja DeFi tööriistade jätkuv sihtimine (muster, mis kiirenes 2026. aastal märkimisväärselt) ning üldiste, müra meenutavate paketinimede kasvav kasutamine, mis on loodud tuvastamise vältimiseks, sulandudes tavalistesse sõltuvuspuudesse.
See iganädalane ülevaade on osa meie käimasolevast pahatahtliku koodi ülevaatest, kus valideerime uusi ohte ja pakume tegutsemiskõlblikku teavet, et aidata DevSecOpsi meeskondadel oma ressursse kaitsta. pipelineenne kahju tekkimist. Vaatleme, mida me sel nädalal leidsime ja miks see on oluline.
Ärge laske koordineeritud kampaaniatel oma sihtkohta jõuda Pipelines
Selle nädala kokkuvõte ei käsitlenud üksikut ohtu, vaid ulatust. Üle 200 kinnitatud paketi, pidev versioonide tulv mitme päeva jooksul ja skriptitud massiregistreerimiskampaaniad, mis toimivad kiiremini, kui käsitsi ülevaatused suudavad jälgida. Ründajad ei oota, et te järele jõuaksite.
Xygeni varajane pahavara tuvastamine jälgib pidevalt npm-i, PyPI-d ja teisi registreid, märgistades ohud avaldamise hetkel, mitte pärast nende valmimist versioonis. Kui kampaania avaldab nelja päeva jooksul 21 versiooni samast pahatahtlikust paketist, ei taba iganädalane skannimine õigel ajal midagi.
Xygeni oma Open Source Security lahendus annab teie DevSecOpsi meeskondadele reaalajas nähtavuse ja prioriteetide seadmise, mida nad vajavad, et olla just sellise koordineeritud surve ees, nii et teie pipelinePüsivad puhtana ilma oma meeskondi aeglustamata.




