כמעט כל שבועמערכות זיהוי התוכנות הזדוניות שלנו סורקות אלפי חבילות חדשות ומעודכנות ברישומים ציבוריים כמו npm ו-PyPI. השבוע לא היה יוצא מן הכלל.
אישרנו מעל 130 חבילות זדוניות בין ה-7 ל-12 ביוני 2026, בעיקר ב-npm, עם מקרים נוספים ב-PyPI. כמה מהן הופיעו באשכולות מתואמים, מהדורות זדוניות חוזרות ונשנות שפורסמו תחת אותם שמות או במשפחות חבילות קרובות.
המקרה הבולט השבוע היה sensivity, אשר הציפה את npm ביותר מ-40 גרסאות מעודכנות בטווח 2.5.x, שאושרו במשך מספר ימים. אשכולות בולטים אחרים כללו גל של @solana-labs טיפוסקווטים המכוונים למערכת האקולוגית של סולאנה (web3.js, web3-js, etherjs, spl-toke, ancor, web3js - בשני קמפיינים נפרדים של פרסום ב-7 וב-8 ביוני), ה- @nstrlabs משפחה (sdk, ixel, utils, shared-components, api-client, auth - מתקפת בלבול תלויות כנגד מרחב שמות פנימי של חבילה), ה- @klapp-login-platform קבוצה (native-sdk, oidc, routes — התחזות לפלטפורמת אימות), internallib_v557 ו internallib_v984 (גרסאות מרובות של מתחזים פנימיים מעורפלים בספרייה), pocteszep (6 גרסאות פורסמו ב-11 ביוני), ואשכול של כלי עזר קריפטו ו-Web3, כולל blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, ו farming-tools-12. ה morningstar-design-system החבילה הופיעה בשלוש גרסאות ב-10 ביוני, כשהיא מחקה מערכת עיצוב פיננסי ידועה. ב-PyPI, helixagentai, telegramlite, ו cdjeez אושרו במהלך השבוע.
אלה לא היו אנומליות בודדות. מה שבלט השבוע היה ריכוז התקפות בלבול תלויות כנגד מרחבי שמות פנימיים של חבילות, הפרסום המתמשך של מספר ימים של ה- sensivity אשכול, והמשך המיקוד של כלי Web3 ו-Solana, דפוס שהואץ משמעותית בשנת 2026.
תמונת מצב שבועית זו היא חלק מסקירת הקוד הזדוני המתמשכת שלנו, שבה אנו מאמתים איומים חדשים ומספקים מודיעין מעשי שיעזור לצוותי DevSecOps להגן עליהם. pipelineלפני שיתרחש נזק.
בואו ננתח מה גילינו השבוע ולמה זה חשוב.
אל תתנו לחבילות זדוניות להגיע לייצור
החבילות שהצוותים שלכם תלויים בהן משמשות יותר ויותר כנקודת כניסה. זיהוי מוקדם של תוכנות זדוניות של Xygeni מנטר רישומים בזמן אמת, כך שאיומים כמו אלה שבתקציר השבוע נחסמים עוד לפני שהם מגיעים למערכות הבנייה שלך.
ממצאי השבוע הם תזכורת לכך שהטקטיקות הופכות מכוונות יותר ויותר. הצפת גרסאות, התחזות למרחב שמות וקמפיינים מתואמים בני מספר ימים אינם עוד מקרי קצה, הם... standard מדריך לתוקפים. סריקות חד-פעמיות וביקורות ידניות אינן יכולות לעמוד בקצב של קמפיינים שמפרסמים עשרות גרסאות על פני מספר ימים ורישומים בו זמנית.
קסיגני'ס Open Source Security הפתרון מעניק לצוותי ה-DevSecOps שלכם נראות רציפה על פני npm, PyPI ומעבר, תוך זיהוי חבילות מזיקות ברגע הפרסום, מתן עדיפות למה שמציב סיכון אמיתי שניתן לנצל, וקיצור הדרך מגילוי לתיקון. כך שהצוותים שלכם יכולים לשלוח במהירות מבלי להתפשר על האבטחה.




