Գրեթե ամեն շաբաթ, մեր վնասակար ծրագրերի հայտնաբերման համակարգերը սկանավորում են հազարավոր նոր և թարմացված փաթեթներ հանրային գրանցամատյաններում, ինչպիսիք են npm-ը և PyPI-ը: Այս շաբաթը բացառություն չէր:
2026 թվականի հունիսի 7-ից 12-ը մենք հաստատեցինք ավելի քան 130 վնասակար փաթեթ, հիմնականում npm-ում, իսկ PyPI-ում լրացուցիչ դեպքեր են գրանցվել։ Մի քանիսը հայտնվել են համակարգված կլաստերներում, նույն անուններով հրապարակված կրկնվող վնասակար թողարկումներում կամ սերտորեն կապված փաթեթների ընտանիքներում։
Այս շաբաթվա ամենանշանակալի դեպքը հետևյալն էր sensivity, որը npm-ը ողողեց 2.5.x տիրույթում ավելի քան 40 տարբերակված թողարկումներով, հաստատվեց մի քանի օրվա ընթացքում: Այլ նշանակալի կլաստերների թվում էին @solana-labs Solana էկոհամակարգին ուղղված typosquats-երը (web3.js, web3-js, etherjs, spl-toke, ancor, web3js՝ երկու առանձին հրատարակչական արշավների միջոցով՝ հունիսի 7-ին և 8-ին), @nstrlabs ընտանիք (sdk, ixel, utils, shared-components, api-client, auth — կախվածության շփոթեցման հարձակում ներքին փաթեթի անվանատարածքի դեմ), @klapp-login-platform խումբ (native-sdk, oidc, routes — նույնականացման հարթակի նմանակում), internallib_v557 և internallib_v984 (խճճված ներքին գրադարանային խաբեբաների բազմաթիվ տարբերակներ), pocteszep (6 տարբերակ հրապարակվել է հունիսի 11-ին), և կրիպտո և Web3 ծառայությունների կլաստեր, ներառյալ blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, եւ farming-tools-12. The morningstar-design-system փաթեթը հունիսի 10-ին հայտնվեց երեք տարբերակով՝ նմանակելով հայտնի ֆինանսական դիզայնի համակարգին։ PyPI-ում, helixagentai, telegramlite, եւ cdjeez հաստատվել են շաբաթվա ընթացքում։
Սրանք մեկուսացված անոմալիաներ չէին։ Այս շաբաթ աչքի ընկնողը ներքին փաթեթների անվանատարածքների դեմ կախվածության շփոթեցման հարձակումների կենտրոնացումն էր, ինչպես նաև... sensivity կլաստերը և Web3-ի ու Solana գործիքակազմի շարունակական թիրախավորումը, մի միտում, որը զգալիորեն արագացել է 2026 թվականին։
Այս շաբաթական ամփոփումը մեր շարունակական «Վնասակար կոդի ամփոփագրի» մի մասն է, որտեղ մենք ստուգում ենք նոր սպառնալիքները և տրամադրում գործնական տվյալներ՝ DevSecOps թիմերին օգնելու պաշտպանել իրենց... pipelineմինչև վնասի առաջացումը։
Եկեք վերլուծենք, թե ինչ գտանք այս շաբաթ և ինչու է դա կարևոր։
Թույլ մի տվեք, որ վնասակար փաթեթները հասնեն արտադրությանը
Ձեր թիմերի կախված փաթեթները գնալով ավելի շատ են օգտագործվում որպես մուտքի կետ։ Xygeni-ի վաղաժամ վնասակար ծրագրերի հայտնաբերում վերահսկում է գրանցամատյանները իրական ժամանակում, ուստի այս շաբաթվա ամփոփագրում ներկայացված սպառնալիքները արգելափակվում են նախքան ձեր կառուցվածքներին հասնելը։
Այս շաբաթվա արդյունքները հիշեցնում են, որ մարտավարությունն ավելի միտումնավոր է դառնում։ Տարբերակների ողողումը, անվանատարածքի կեղծումը և բազմօրյա համակարգված արշավները այլևս ծայրահեղ դեպքեր չեն, դրանք... standard հարձակվողի խաղային ձեռնարկը։ Միանգամյա սկանավորումները և ձեռքով աուդիտները չեն կարող համընթաց քայլել այն արշավների հետ, որոնք միաժամանակ հրապարակում են տասնյակ տարբերակներ մի քանի օրերի ընթացքում և գրանցամատյաններում։
Քսիգենիի Open Source Security Լուծումը ձեր DevSecOps թիմերին տալիս է շարունակական տեսանելիություն npm-ի, PyPI-ի և այլ համակարգերի միջոցով՝ հայտնաբերելով վնասակար փաթեթները հրապարակման պահին, առաջնահերթություն տալով իրական շահագործելի ռիսկ ներկայացնողներին և կրճատելով հայտնաբերումից մինչև վերականգնում ճանապարհը։ Այսպիսով, ձեր թիմերը կարող են արագ առաքումներ կատարել՝ առանց անվտանգության վրա զիջումների գնալու։




