Astero, gure malware detektatzeko sistemek milaka pakete berri eta eguneratu eskaneatzen dituzte npm eta PyPI bezalako erregistro publikoetan. Aste hau ez zen salbuespena izan.
2026ko ekainaren 12tik ekainaren 19ra bitartean 200 pakete gaizto baino gehiago baieztatu genituen, batez ere npm-n, eta PyPI-n kasu gehigarriak ere bai. Hainbat multzo koordinatuetan agertu ziren, izen berdinekin edo pakete familien artean argitaratutako bertsio gaizto errepikatuetan.
Aste honetako kasurik aipagarriena izan da sensivity, npm gainezka egin zuena 2.5.x tartean 70 bertsio baino gehiagorekin, hainbat egunetan baieztatuta. Beste multzo aipagarri batzuk honako hauek izan ziren: @solana-labs Solana ekosistema helburu duten typosquat-ak (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — ekainaren 7an eta ekainaren 8an bi argitalpen kanpaina bereizitan), @nstrlabs familia (sdk, ixel, utils, shared-components, api-client, auth — barneko pakete izen-espazio baten aurkako mendekotasun-nahasmen erasoa), @klapp-login-platform taldea (native-sdk, oidc, routes — autentifikazio-plataforma baten nortasuna ordezkatzea), internallib_v557 internallib_v984 (barneko liburutegiko iruzurgile nahasien hainbat bertsio), pocteszep (6 bertsio argitaratuak ekainaren 11n), eta kriptografia eta Web3 utilitate multzo bat, besteak beste blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, eta farming-tools-12. The morningstar-design-system paketea hiru bertsiotan agertu zen ekainaren 10ean, finantza-diseinu sistema ezagun bat imitatuz.
Ekainaren 13tik aurrera, erritmoa bizkortu egin zen. houzidawang806 Klusterrak bakarrik 25 bertsio baino gehiago argitaratu zituen egun bakarrean, anai-arrebek bat eginda houzidawang807 houzidawang808. The metrics-pipeline-d8k2 paketea etengabe berrargitaratu zen 21 bertsiotan ekainaren 15etik ekainaren 18ra bitartean — bloke-zerrenden aurretik egoteko diseinatutako saihesteko kanpaina iraunkor bat. friendly-greeter-demo paketea aste osoan zehar bertsio guztietan agertzen joan zen. Mendekotasun nahasketa saiakera berriak agertu ziren azpian xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, eta beste hainbat — guztiek 999.x tarteko bertsio-zenbaki puztuak dituzte. Ausazko hex atzizkiekin utilitate generikoen izen multzo berri bat (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) ekainaren 18tik 19ra agertu zen, erregistro masibo gidoidunarekin bat etorriz. Astea amaitu zen trimprompt, trimprompt-hub, claude-cup, eta web3-crypto-address-utils ekainaren 19an baieztatu zen. PyPI-n, neuralbridge-sdk (bost bertsio 4.5.x–5.1.x artean), deepstrain, teambot-ai, hello-test-s1, eta aiaddin-agent aste osoan zehar baieztatu ziren.
Ez ziren anomalia isolatuak izan. Aste honetan nabarmendu zena izan zen barneko paketeen izen-espazioen aurkako mendekotasun-nahasmen erasoen kontzentrazioa, kentzeak baino gehiago irauteko diseinatutako egun anitzeko argitalpen-kanpaina iraunkorrak, Web3 eta DeFi tresnen aurkako etengabeko erasoa (2026an nabarmen bizkortu den eredua), eta mendekotasun-zuhaitz normaletan nahastuz detekzioa saihesteko diseinatutako pakete-izen generiko eta zaratatsuen erabilera gero eta handiagoa.
Asteko argazki hau gure Kode Gaiztoen Digestaren parte da, non mehatxu berriak balioztatzen ditugun eta DevSecOps taldeei beren... babesten laguntzeko adimen erabilgarria eskaintzen dugun. pipelineKalteak gertatu baino lehen. Azter dezagun aste honetan zer aurkitu dugun eta zergatik den garrantzitsua.
Ez utzi kanpaina koordinatuek zuregana iristen Pipelines
Aste honetako laburpena ez zen mehatxu bakar bati buruzkoa izan; eskalari buruzkoa baizik. 200 pakete baino gehiago baieztatu dira, hainbat egunetan zehar bertsioen uholde jarraitua eta eskuzko berrikuspenek jarrai dezaketena baino azkarrago exekutatzen ari diren erregistro masiboko kanpaina scriptdunak. Erasotzaileak ez daude zu harrapatzeko zain.
Xygeni Malware Detekzio Goiztiarra npm, PyPI eta beste erregistro batzuk etengabe kontrolatzen ditu, mehatxuak argitaratzen diren unean bertan markatuz, ez eraikuntza batean sartu ondoren. Kanpaina batek pakete gaizto beraren 21 bertsio argitaratzen dituenean lau egunetan zehar, asteroko eskaneatzeak ez du ezer garaiz harrapatzen.
Xygeni-ren Open Source Security irtenbideak zure DevSecOps taldeei denbora errealeko ikusgarritasuna eta lehentasunak ematen dizkie presio koordinatu mota honen aurretik egoteko, beraz, zure pipelineMantendu garbi zure taldeak moteldu gabe.




