هر هفتهسیستمهای تشخیص بدافزار ما هزاران بسته جدید و بهروز شده را در رجیستریهای عمومی مانند npm و PyPI اسکن میکنند. این هفته نیز از این قاعده مستثنی نبود.
ما بیش از ۲۰۰ بستهی مخرب را بین ۱۲ ژوئن و ۱۹ ژوئن ۲۰۲۶، عمدتاً در npm و موارد اضافی در PyPI تأیید کردیم. چندین مورد در خوشههای هماهنگ، انتشارهای مخرب مکرر منتشر شده با نامهای یکسان یا در خانوادههای بستهی نزدیک به هم، ظاهر شدند.
مورد برجسته این هفته این بود sensivityکه npm را با بیش از ۷۰ نسخه منتشر شده در محدوده ۲.۵.x پر کرد، که طی چندین روز تأیید شد. سایر خوشههای قابل توجه شامل موجی از @solana-labs اشتباهات تایپی که اکوسیستم سولانا را هدف قرار میدهند (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — در دو کمپین انتشاراتی جداگانه در ۷ و ۸ ژوئن)، @nstrlabs خانواده (sdk, ixel, utils, shared-components, api-client, auth — حملهی سردرگمی وابستگی علیه یک فضای نام بستهی داخلی)، @klapp-login-platform گروه (native-sdk, oidc, routes — جعل هویت یک پلتفرم احراز هویت)، internallib_v557 و internallib_v984 (نسخههای متعدد از کتابخانههای داخلیِ جعلیِ مبهمسازیشده)، pocteszep (۶ نسخه منتشر شده در ۱۱ ژوئن) و مجموعهای از ابزارهای رمزنگاری و وب ۳ از جمله blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87و farming-tools-12. morningstar-design-system این بسته در سه نسخه در تاریخ ۱۰ ژوئن ظاهر شد و خود را به عنوان یک سیستم طراحی مالی شناخته شده جا زد.
از ۱۳ ژوئن به بعد، سرعت [این روند] افزایش یافت. houzidawang806 این خوشه به تنهایی بیش از ۲۵ نسخه منتشر شده در یک روز را به خود اختصاص داده است که نسخههای مشابه نیز به آن پیوستهاند. houzidawang807 و houzidawang808. metrics-pipeline-d8k2 این بسته به طور مداوم در ۲۱ نسخه بین ۱۵ تا ۱۸ ژوئن منتشر شد - یک کمپین فرار پایدار که برای جلوگیری از لیستهای مسدود شده طراحی شده بود. friendly-greeter-demo این بسته در طول هفته مدام در نسخههای مختلف ظاهر میشد. تلاشهای جدیدی برای ایجاد سردرگمی در مورد وابستگیها در زیر ظاهر شد. xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesو چندین مورد دیگر - که همگی شماره نسخههای اغراقآمیزی در محدوده ۹۹۹.x دارند. مجموعهای جدید از نامهای عمومی ابزارها با پسوندهای هگز تصادفی (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) در تاریخ ۱۸ و ۱۹ ژوئن، مطابق با ثبت نام انبوه از پیش تعیین شده، ظاهر شد. هفته با این موارد به پایان رسید trimprompt, trimprompt-hub, claude-cupو web3-crypto-address-utils در 19 ژوئن تأیید شد. در PyPI، neuralbridge-sdk (پنج نسخه در 4.5.x تا 5.1.x)، deepstrain, teambot-ai, hello-test-s1و aiaddin-agent در طول هفته تأیید شدند.
اینها ناهنجاریهای منفردی نبودند. آنچه این هفته برجسته بود، تمرکز حملات سردرگمی وابستگی علیه فضاهای نام بسته داخلی، کمپینهای انتشار چند روزه پایدار طراحی شده برای دوام آوردن در برابر حذفها، هدف قرار دادن مداوم ابزارهای Web3 و DeFi (الگویی که در سال 2026 به طور قابل توجهی سرعت گرفته است) و استفاده فزاینده از نامهای بسته عمومی و نویز مانند بود که برای فرار از شناسایی با ترکیب شدن در درختهای وابستگی عادی طراحی شدهاند.
این اسنپشات هفتگی بخشی از خلاصه کدهای مخرب (Malicious Code Digest) مداوم ماست که در آن تهدیدات جدید را اعتبارسنجی میکنیم و اطلاعات کاربردی را برای کمک به تیمهای DevSecOps در محافظت از آنها ارائه میدهیم. pipelineقبل از اینکه آسیبی رخ دهد. بیایید آنچه را که این هفته پیدا کردیم و دلیل اهمیت آن را بررسی کنیم.
نگذارید کمپینهای هماهنگشده به شما برسند Pipelines
خلاصه این هفته در مورد یک تهدید واحد نبود؛ بلکه در مورد مقیاس بود. بیش از ۲۰۰ بسته تأیید شده، سیل مداوم نسخهها در طول چند روز، و کمپینهای ثبت نام انبوه اسکریپت شده که سریعتر از آنچه بررسیهای دستی میتوانند ردیابی کنند، اجرا میشوند. مهاجمان منتظر نمیمانند تا شما به آنها برسید.
تشخیص زودهنگام بدافزار Xygeni npm، PyPI و سایر رجیستریها را به طور مداوم رصد میکند و تهدیدها را در لحظه انتشار، نه پس از ورود به یک ساختار، علامتگذاری میکند. وقتی یک کمپین ۲۱ نسخه از یک بسته مخرب را در طول چهار روز منتشر میکند، اسکن هفتگی هیچ چیزی را به موقع تشخیص نمیدهد.
شیگنی Open Source Security این راهکار به تیمهای DevSecOps شما امکان مشاهده و اولویتبندی بلادرنگ مورد نیاز برای پیشی گرفتن از دقیقاً این نوع فشار هماهنگ را میدهد، بنابراین شما pipelineبدون اینکه سرعت تیمهایتان را کم کنید، تمیز بمانید.




