Majdnem minden hétenkártevő-észlelő rendszereink több ezer új és frissített csomagot vizsgálnak át nyilvános rendszerleíró adatbázisokban, mint például az npm és a PyPI. Ez a hét sem volt kivétel.
2026. június 7. és 12. között több mint 130 rosszindulatú csomag jelenlétét erősítettük meg, túlnyomórészt az npm csomagokban, további esetekkel a PyPI-ben. Több csomag összehangolt klaszterekben, ismételt rosszindulatú kiadásokban jelent meg ugyanazon a néven, vagy szorosan kapcsolódó csomagcsaládokban.
A hét kiemelkedő esete az volt, sensivity, amely több mint 40 verziózott kiadással árasztotta el az npm-et a 2.5.x tartományban, amelyeket több napon keresztül megerősítettek. További figyelemre méltó klaszterek közé tartozott egy hullám a @solana-labs a Solana ökoszisztémát célzó typosquat kódok (web3.js, web3-js, etherjs, spl-toke, ancor, web3js – két különálló publikációs kampányban, június 7-én és június 8-án), a @nstrlabs család (sdk, ixel, utils, shared-components, api-client, auth — függőségi zavart okozó támadás egy belső csomagnévtér ellen), a @klapp-login-platform csoport (natív SDK, oidc, útvonalak — hitelesítési platform megszemélyesítése), internallib_v557 és a internallib_v984 (a homályos belső könyvtári csalók több verziója), pocteszep (6 verzió jelent meg június 11-én), valamint egy kripto- és Web3 segédprogramokból álló klaszter, beleértve a blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87és farming-tools-12 Az morningstar-design-system A csomag három változatban jelent meg június 10-én, egy jól ismert pénzügyi tervezőrendszert utánozva. A PyPI-ben helixagentai, telegramliteés cdjeez a hét folyamán megerősítést nyertek.
Ezek nem elszigetelt anomáliák voltak. Ami ezen a héten szembetűnő volt, az a belső csomagnévterek elleni függőségi zavart okozó támadások koncentrációja, a ... folyamatos, többnapos publikálása. sensivity klaszter, valamint a Web3 és Solana eszközök folyamatos célba vétele, amely tendencia 2026-ban jelentősen felgyorsult.
Ez a heti pillanatkép a folyamatban lévő kártékony kódösszefoglalónk része, ahol új fenyegetéseket validálunk, és hasznosítható információkat nyújtunk, hogy segítsük a DevSecOps csapatokat a sajátjuk védelmében. pipelinemielőtt kár keletkezik.
Nézzük meg, mit tapasztaltunk ezen a héten, és miért fontosak ezek a dolgok.
Ne engedje, hogy a rosszindulatú csomagok elérjék az éles környezetet
A csapataid által használt csomagok egyre inkább belépési pontként szolgálnak. Xygeni korai kártevő-észlelés valós időben figyeli a rendszerleíró adatbázisokat, így az olyan fenyegetéseket, mint amilyeneket a hét kivonatában is láthattunk, blokkolja, mielőtt azok elérnék a buildeket.
A hét eredményei arra emlékeztetnek, hogy a taktikák egyre tudatosabbak. A verzióelárasztás, a névtér-utánzás és a többnapos koordinált kampányok már nem szélsőséges esetek, hanem... standard A támadók kézikönyve. Az egyszeri vizsgálatok és a manuális auditok nem tudnak lépést tartani azokkal a kampányokkal, amelyek több napon keresztül több tucat verziót és beállításjegyzéket tesznek közzé egyszerre.
Xygenié Open Source Security A megoldás folyamatos láthatóságot biztosít a DevSecOps csapatoknak az npm, a PyPI és azon túli területeken, a káros csomagokat a közzétételük pillanatában észlelve, rangsorolva a valódi kihasználható kockázatot jelentő csomagokat, és lerövidítve az észleléstől a elhárításig tartó utat. Így csapataik gyorsan szállíthatnak a biztonság feláldozása nélkül.




