Ia astero, gure malware detektatzeko sistemek milaka pakete berri eta eguneratu eskaneatzen dituzte npm eta PyPI bezalako erregistro publikoetan. Aste hau ez zen salbuespena izan.
2026ko ekainaren 7tik ekainaren 12ra bitartean 130 pakete gaizto baino gehiago baieztatu genituen, batez ere npm-n, eta PyPI-n kasu gehigarriak ere bai. Hainbat multzo koordinatuetan agertu ziren, izen berdinekin edo pakete-familia estu lotuetan argitaratutako bertsio gaizto errepikatuetan.
Aste honetako kasurik aipagarriena izan da sensivity, npm gainezka egin zuena 2.5.x tartean 40 bertsio baino gehiagorekin, hainbat egunetan baieztatuta. Beste multzo aipagarri batzuk honako hauek izan ziren: @solana-labs Solana ekosistemari zuzendutako typosquat-ak (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — ekainaren 7an eta 8an bi argitalpen kanpainatan), @nstrlabs familia (sdk, ixel, utils, shared-components, api-client, auth — barneko pakete izen-espazio baten aurkako mendekotasun-nahasmen erasoa), @klapp-login-platform taldea (native-sdk, oidc, routes — autentifikazio plataforma baten izena imitatzen), internallib_v557 internallib_v984 (barneko liburutegiko iruzurgile nahasien hainbat bertsio), pocteszep (6 bertsio argitaratuak ekainaren 11n), eta kriptografia eta Web3 utilitate multzo bat, besteak beste blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, eta farming-tools-12. The morningstar-design-system paketea hiru bertsiotan agertu zen ekainaren 10ean, finantza-diseinu sistema ezagun baten antzera. PyPI-n, helixagentai, telegramlite, eta cdjeez aste osoan zehar baieztatu ziren.
Ez ziren anomalia isolatuak izan. Aste honetan nabarmendu zena barneko paketeen izen-espazioen aurkako mendekotasun-nahasmen erasoen kontzentrazioa izan zen, hainbat egunez argitaratzea... sensivity klusterra, eta Web3 eta Solana tresnen helburu jarraitua, 2026an nabarmen bizkortu den eredua.
Asteko argazki hau gure Kode Gaiztoen Digestaren parte da, non mehatxu berriak balioztatzen ditugun eta DevSecOps taldeei beren... babesten laguntzeko adimen erabilgarria eskaintzen dugun. pipelines kalteak gertatu baino lehen.
Azter dezagun aste honetan zer aurkitu dugun eta zergatik den garrantzitsua.
Ez utzi pakete gaiztoak ekoizpenera iristen
Zuen taldeen menpe dauden paketeak gero eta gehiago erabiltzen ari dira sarrera-puntu gisa. Xygeni Malware Detekzio Goiztiarra erregistroak denbora errealean kontrolatzen ditu, beraz, aste honetako laburpenean agertzen diren mehatxuak zure build-etara iritsi aurretik blokeatzen dira.
Aste honetako aurkikuntzek gogorarazten digute taktikak gero eta nahitaezkoagoak direla. Bertsioen uholdea, izen-espazioaren imitazioa eta hainbat egunez koordinatutako kanpainak ez dira jada muturreko kasuak, baizik eta... standard erasotzaileen eskuliburua. Behin-behineko eskaneatzeak eta eskuzko auditoriek ezin dute erritmoari eutsi hainbat egunetan eta erregistrotan aldi berean dozenaka bertsio argitaratzen dituzten kanpainekin.
Xygeni-ren Open Source Security Soluzioak zure DevSecOps taldeei etengabeko ikusgarritasuna ematen die npm, PyPI eta haratago, pakete kaltegarriak argitaratzen diren unean bertan detektatuz, benetako arrisku ustiagarria dakarrena lehenetsiz eta detekziotik konponketara arteko bidea laburtuz. Horrela, zure taldeek azkar bidali ahal izango dute segurtasuna arriskuan jarri gabe.




