Kokoke i kēlā me kēia pule, ke nānā nei kā mākou ʻōnaehana ʻike malware i nā tausani o nā pūʻolo hou a hōʻano hou ʻia ma nā papa inoa lehulehu e like me npm lāua ʻo PyPI. ʻAʻole ʻokoʻa kēia pule.
Ua hōʻoia mākou ma luna o 130 mau pūʻolo ʻino ma waena o Iune 7 a me Iune 12, 2026, ʻo ka hapa nui ma o npm, me nā hihia hou aʻe ma PyPI. Ua ʻike ʻia kekahi mau mea ma nā hui i hoʻonohonoho ʻia, nā hoʻokuʻu ʻino i hana hou ʻia i paʻi ʻia ma lalo o nā inoa like a i ʻole ma waena o nā ʻohana pūʻolo pili loa.
ʻO ka hihia koʻikoʻi o kēia pule, ʻo ia sensivity, ka mea i hoʻopiha i ka npm me nā hoʻokuʻu mana he 40 ma ka pae 2.5.x, i hōʻoia ʻia ma nā lā he nui. ʻO nā hui koʻikoʻi ʻē aʻe i komo pū me kahi nalu o @solana-labs nā typosquats e kuhikuhi ana i ka ʻōnaehana Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js - ma waena o ʻelua mau hoʻolaha hoʻopuka kaʻawale ma Iune 7 a me Iune 8), ka @nstrlabs ʻohana (sdk, ixel, utils, shared-components, api-client, auth - hoʻouka kaua huikau hilinaʻi e kūʻē i kahi inoa inoa pūʻolo kūloko), ka @klapp-login-platform hui (native-sdk, oidc, routes - ke hoʻohālike nei i kahi kahua hōʻoia), internallib_v557 a internallib_v984 (nā mana he nui o nā mea hoʻopunipuni waihona puke kūloko i hūnā ʻia), pocteszep (6 mau mana i paʻi ʻia ma Iune 11), a me kahi hui o nā pono crypto a me Web3 e komo pū ana blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, a farming-tools-12. ka morningstar-design-system ua puka mai ka pūʻolo ma ʻekolu mau mana ma Iune 10, e hoʻohālike ana i kahi ʻōnaehana hoʻolālā kālā kaulana. Ma PyPI, helixagentai, telegramlite, a cdjeez ua hōʻoia ʻia i loko o ka pule.
ʻAʻole kēia he mau ʻano ʻē i hoʻokaʻawale ʻia. ʻO ka mea i kū i waho i kēia pule, ʻo ia ka nui o nā hoʻouka kaua huikau hilinaʻi e kūʻē i nā inoa inoa pūʻolo kūloko, ka hoʻopuka mau ʻana i nā lā he nui o ka sensivity hui, a me ka hoʻomau ʻana o ka hoʻolālā ʻana o Web3 a me Solana tooling, kahi ʻano i wikiwiki nui i ka makahiki 2026.
ʻO kēia kiʻi paʻi hebedoma kekahi ʻāpana o kā mākou Malicious Code Digest e hoʻomau nei, kahi a mākou e hōʻoia ai i nā hoʻoweliweli hou a hāʻawi i ka ʻike hana e kōkua i nā hui DevSecOps e pale i kā lākou. pipelines ma mua o ka hiki ʻana mai o ka hōʻino.
E wehewehe kākou i nā mea a kākou i ʻike ai i kēia pule a me ke kumu o kona koʻikoʻi.
Mai ʻae i nā pūʻolo ʻino e hōʻea i ka hana ʻana
Ke hoʻohana nui ʻia nei nā pūʻolo e hilinaʻi nei kāu mau hui ma ke ʻano he wahi komo. Ka ʻIke ʻana i nā polokalamu ʻino mua o Xygeni nānā i nā papa inoa i ka manawa maoli, no laila ua ālai ʻia nā hoʻoweliweli e like me nā mea ma ka digest o kēia pule ma mua o ko lākou hiki ʻana i kāu mau kūkulu.
ʻO nā ʻike o kēia pule he hoʻomanaʻo ia e lilo ana nā hana i mea noʻonoʻo nui ʻia. ʻAʻole nā hihia lihi hou ka hoʻopiha ʻana i nā mana, ka hoʻohālike ʻana i ka inoa inoa, a me nā hoʻolaha i hoʻonohonoho ʻia i nā lā he nui, akā standard puke pāʻani hoʻouka. ʻAʻole hiki i nā scan hoʻokahi manawa a me nā loiloi lima ke hoʻomau i ka wikiwiki me nā hoʻolaha e hoʻopuka ana i nā ʻumi o nā mana ma nā lā he nui a me nā hoʻopaʻa inoa i ka manawa like.
ʻO Xygeni Open Source Security Hāʻawi ka hoʻonā i kāu mau hui DevSecOps i ka ʻike mau ʻana ma o npm, PyPI, a ma ʻō aku, e ʻike ana i nā pūʻolo ʻino i ka manawa o ka hoʻopuka ʻana, e hoʻonohonoho ana i nā mea e hoʻoweliweli maoli ai, a e hoʻopōkole ana i ke ala mai ka ʻike ʻana a i ka hoʻoponopono ʻana. No laila hiki i kāu mau hui ke hoʻouna wikiwiki me ka ʻole o ka hoʻopilikia ʻana i ka palekana.




