Beagnach gach seachtain, déanann ár gcórais braite malware scanadh ar na mílte pacáiste nua agus nuashonraithe ar fud clárlanna poiblí ar nós npm agus PyPI. Ní raibh an tseachtain seo ina haon eisceacht.
Dheimhnigh muid breis is 130 pacáiste mailíseach idir 7 Meitheamh agus 12 Meitheamh, 2026, den chuid is mó ar fud npm, le cásanna breise i PyPI. Tháinig roinnt acu chun cinn i mbraislí comhordaithe, eisiúintí mailíseacha arís agus arís eile a foilsíodh faoi na hainmneacha céanna nó trasna teaghlaigh pacáiste a bhfuil dlúthbhaint acu leo.
Ba é an cás ba shuntasaí an tseachtain seo ná sensivity, a chuir breis is 40 eisiúint leaganacha i láthair i npm ar fud raon 2.5.x, arna ndeimhniú thar roinnt laethanta. I measc na mbraislí suntasacha eile bhí tonn de @solana-labs typosquats ag díriú ar éiceachóras Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — trasna dhá fheachtas foilsitheoireachta ar leithligh ar 7 Meitheamh agus 8 Meitheamh), an @nstrlabs teaghlach (sdk, ixel, utils, comhpháirteanna-roinnte, api-client, auth — ionsaí mearbhaill spleáchais i gcoinne ainmspás pacáiste inmheánach), an @klapp-login-platform grúpa (native-sdk, oidc, routes — ag aithris ar ardán fíordheimhnithe), internallib_v557 agus internallib_v984 (leaganacha iomadúla de bhréagadóirí inmheánacha leabharlainne doiléire), pocteszep (6 leagan foilsithe ar 11 Meitheamh), agus braisle fóntais cripte agus Web3 lena n-áirítear blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, agus farming-tools-12. An morningstar-design-system tháinig an pacáiste i dtrí leagan ar an 10 Meitheamh, ag aithris córas deartha airgeadais aitheanta. I PyPI, helixagentai, telegramlite, agus cdjeez deimhníodh iad i rith na seachtaine.
Ní neamhghnáchaíochtaí aonraithe a bhí iontu seo. Ba é an rud a sheas amach an tseachtain seo ná tiúchan ionsaithe mearbhaill spleáchais i gcoinne spásanna ainm pacáiste inmheánacha, foilsiú leanúnach il-lae an sensivity braisle, agus díriú leanúnach ar uirlisí Web3 agus Solana, patrún atá tar éis luasghéarú go suntasach in 2026.
Tá an léargas seachtainiúil seo mar chuid dár n-Achoimre Cód Mailíseach leanúnach, áit a ndéanaimid bailíochtú ar bhagairtí nua agus faisnéis inghníomhaithe a sholáthar chun cabhrú le foirne DevSecOps a gcuid a chosaint. pipelinesula dtarlaíonn damáiste.
Déanaimis miondealú ar a bhfuaireamar amach an tseachtain seo agus cén fáth go bhfuil sé tábhachtach.
Ná Lig do Phacáistí Mailíseacha an Táirgeadh a Shroicheadh
Tá na pacáistí a bhfuil do fhoirne ag brath orthu á n-úsáid níos mó agus níos mó mar phointe iontrála. Brath Luath-Malaireachtaí Xygeni déanann monatóireacht ar chlárlanna i bhfíor-am, mar sin cuirtear bac ar bhagairtí cosúil leo siúd atá i ndíolaim na seachtaine seo sula sroicheann siad do thógálacha riamh.
Is meabhrúchán iad torthaí na seachtaine seo go bhfuil na tactics ag éirí níos d'aon ghnó. Ní cásanna imeallacha a thuilleadh iad tuilte leaganacha, aithris ar spásanna ainmneacha, agus feachtais chomhordaithe il-lae, is ea iad. standard treoirphlean an ionsaitheora. Ní féidir le scananna aonuaire agus iniúchtaí láimhe coinneáil suas le feachtais a fhoilsíonn mórán leaganacha thar laethanta agus clárlanna iolracha ag an am céanna.
Xygeni's Open Source Security Tugann an réiteach infheictheacht leanúnach do do fhoirne DevSecOps ar fud npm, PyPI, agus níos faide anonn, ag brath pacáistí díobhálacha tráth a bhfoilsithe, ag tabhairt tosaíochta do na rudaí a chruthaíonn riosca fíor-inúsáidte, agus ag giorrú an chonair ó bhrath go leigheas. Mar sin, is féidir le do fhoirne seachadadh go tapa gan cur isteach ar shlándáil.




