Gach seachtain, déanann ár gcórais braite malware scanadh ar na mílte pacáiste nua agus nuashonraithe ar fud clárlanna poiblí ar nós npm agus PyPI. Ní raibh an tseachtain seo ina haon eisceacht.
Dheimhnigh muid breis is 200 pacáiste mailíseach idir an 12 Meitheamh agus an 19 Meitheamh, 2026, den chuid is mó ar fud npm, le cásanna breise i PyPI. Tháinig roinnt acu chun cinn i mbraislí comhordaithe, eisiúintí mailíseacha arís agus arís eile a foilsíodh faoi na hainmneacha céanna nó trasna teaghlaigh pacáiste a bhfuil dlúthbhaint acu leo.
Ba é an cás ba shuntasaí an tseachtain seo ná sensivity, a chuir breis is 70 eisiúint leaganacha i láthair i npm ar fud raon 2.5.x, arna ndeimhniú thar roinnt laethanta. I measc na mbraislí suntasacha eile bhí tonn de @solana-labs typosquats ag díriú ar éiceachóras Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — thar dhá fheachtas foilsitheoireachta ar leithligh ar an 7 Meitheamh agus an 8 Meitheamh), an @nstrlabs teaghlach (sdk, ixel, utils, shared-components, api-client, auth — ionsaí mearbhaill spleáchais i gcoinne ainmspás pacáiste inmheánach), an @klapp-login-platform ghrúpa (native-sdk, oidc, routes — ag ligean ar ardán fíordheimhnithe é/í), internallib_v557 agus internallib_v984 (leaganacha iomadúla de bhréagadóirí inmheánacha leabharlainne doiléire), pocteszep (6 leagan foilsithe ar 11 Meitheamh), agus braisle fóntais cripte agus Web3 lena n-áirítear blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, agus farming-tools-12. An morningstar-design-system Tháinig an pacáiste seo i láthair i dtrí leagan ar 10 Meitheamh, ag aithris córas deartha airgeadais aitheanta.
Ón 13 Meitheamh ar aghaidh, mhéadaigh an luas. houzidawang806 bhí breis is 25 leagan foilsithe in aon lá amháin sa chnuasach amháin, agus siblíní agus deartháireacha agus deirfiúracha i gcuideachta a chéile houzidawang807 agus houzidawang808. An metrics-pipeline-d8k2 athfhoilsiúíodh an pacáiste go leanúnach ar fud 21 leagan idir 15 Meitheamh agus 18 Meitheamh — feachtas leanúnach seachanta a ceapadh chun fanacht chun tosaigh ar liostaí blocála. friendly-greeter-demo Bhí an pacáiste ag teacht chun cinn arís agus arís eile i rith na seachtaine. Tháinig iarrachtaí nua mearbhaill maidir le spleáchais chun cinn faoi xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, agus roinnt eile — agus uimhreacha leaganacha bolgtha acu go léir sa raon 999.x. Braisle úr d'ainmneacha fóntais ghinearálta le hiarmhíreanna heicsidheachúla randamacha (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) le feiceáil ar an 18–19 Meitheamh, ag teacht le clárú mórchóir scriptithe. Chríochnaigh an tseachtain le trimprompt, trimprompt-hub, claude-cup, agus web3-crypto-address-utils deimhnithe ar 19 Meitheamh. I PyPI, neuralbridge-sdk (cúig leagan trasna 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1, agus aiaddin-agent deimhníodh iad i rith na seachtaine.
Ní neamhghnáchaíochtaí aonraithe a bhí iontu seo. Ba iad na rudaí a sheas amach an tseachtain seo ná tiúchan na n-ionsaithe mearbhaill spleáchais i gcoinne spásanna ainm pacáiste inmheánacha, na feachtais foilsitheoireachta il-lae leanúnacha atá ceaptha chun maireachtáil níos faide ná baineadh síos, díriú leanúnach ar uirlisí Web3 agus DeFi (patrún atá tar éis luasghéarú go suntasach in 2026), agus úsáid mhéadaitheach ainmneacha pacáiste cineálacha, cosúil le torann a ndearnadh innealtóireacht orthu chun seachaint braite trí chumasc le crainn spleáchais gnáth.
Tá an léargas seachtainiúil seo mar chuid dár n-Achoimre Cód Mailíseach leanúnach, áit a ndéanaimid bailíochtú ar bhagairtí nua agus faisnéis inghníomhaithe a sholáthar chun cabhrú le foirne DevSecOps a gcuid a chosaint. pipelinesula dtarlaíonn damáiste. Déanaimis miondealú ar a bhfuaireamar an tseachtain seo agus cén fáth go bhfuil sé tábhachtach.
Ná Lig do Fheachtais Chomhordaithe Do Chuid a Shroicheadh Pipelines
Ní raibh achoimre na seachtaine seo faoi bhagairt amháin; ba é scála a bhí i gceist. Breis is 200 pacáiste deimhnithe, tuilte leaganacha leanúnacha thar roinnt laethanta, agus feachtais chlárúcháin mórchóir scriptithe ag rith níos tapúla ná mar is féidir le hathbhreithnithe láimhe a rianú. Níl na hionsaitheoirí ag fanacht leat teacht suas leis.
Brath Luath-Malaireachtaí Xygeni déanann sé monatóireacht leanúnach ar npm, PyPI, agus clárlanna eile, ag tabhairt faoi deara bagairtí tráth a bhfoilsithe, ní tar éis dóibh teacht i dtír i dtógáil. Nuair a fhoilsíonn feachtas 21 leagan den phacáiste mailíseach céanna thar cheithre lá, ní ghabhann scanadh seachtainiúil aon rud in am.
Xygeni's Open Source Security Tugann an réiteach seo infheictheacht agus tosaíocht fíor-ama do d’fhoirne DevSecOps a theastaíonn uathu chun fanacht chun tosaigh ar an gcineál seo brú comhordaithe, ionas go mbeidh do pipelinefan glan gan moill a chur ar do fhoirne.




