כל שבועמערכות זיהוי התוכנות הזדוניות שלנו סורקות אלפי חבילות חדשות ומעודכנות ברישומים ציבוריים כמו npm ו-PyPI. השבוע לא היה יוצא מן הכלל.
אישרנו מעל 200 חבילות זדוניות בין ה-12 ביוני ל-19 ביוני 2026, בעיקר ב-npm, עם מקרים נוספים ב-PyPI. כמה מהן הופיעו באשכולות מתואמים, מהדורות זדוניות חוזרות ונשנות שפורסמו תחת אותם שמות או במשפחות חבילות קרובות.
המקרה הבולט השבוע היה sensivity, אשר הציפה את npm ביותר מ-70 גרסאות מעודכנות בטווח 2.5.x, שאושרו במשך מספר ימים. אשכולות בולטים אחרים כללו גל של @solana-labs טיפוסקווטים המכוונים למערכת האקולוגית של סולאנה (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — בשני קמפיינים נפרדים לפרסום ב-7 וב-8 ביוני), ה- @nstrlabs משפחה (sdk, ixel, utils, shared-components, api-client, auth — התקפת בלבול תלויות כנגד מרחב שמות פנימי של חבילה), ה @klapp-login-platform קבוצתיnative-sdk, oidc, routes — התחזות לפלטפורמת אימות), internallib_v557 ו internallib_v984 (גרסאות מרובות של מתחזים פנימיים מעורפלים בספרייה), pocteszep (6 גרסאות פורסמו ב-11 ביוני), ואשכול של כלי עזר קריפטו ו-Web3, כולל blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, ו farming-tools-12. ה morningstar-design-system החבילה הופיעה בשלוש גרסאות ב-10 ביוני, כשהיא מחקה מערכת עיצוב פיננסי ידועה.
החל מ-13 ביוני ואילך, הקצב הואץ. houzidawang806 אשכול לבדו היווה למעלה מ-25 גרסאות שפורסמו ביום אחד, אליהם הצטרפו אחים ואחיות houzidawang807 ו houzidawang808. ה metrics-pipeline-d8k2 החבילה פורסמה מחדש ברציפות ב-21 גרסאות בין ה-15 ביוני ל-18 ביוני - קמפיין התחמקות מתמשך שנועד להקדים את רשימות החסימה. friendly-greeter-demo החבילה המשיכה להופיע שוב ושוב בגרסאות שונות במהלך השבוע. ניסיונות חדשים של בלבול תלויות צצו תחת xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, וכמה אחרים - כולם נושאים מספרי גרסה מנופחים בטווח 999.x. אשכול חדש של שמות שירות גנריים עם סיומות הקסדצימליות אקראיות (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) הופיע ב-18-19 ביוני, בהתאם לרישום בכמות גדולה בתסריט. השבוע הסתיים עם trimprompt, trimprompt-hub, claude-cup, ו web3-crypto-address-utils אושר ב-19 ביוני. ב-PyPI, neuralbridge-sdk (חמש גרסאות בגירסאות 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1, ו aiaddin-agent אושרו במהלך השבוע.
אלה לא היו אנומליות בודדות. מה שבלט השבוע היה ריכוז התקפות בלבול תלויות כנגד מרחבי שמות פנימיים של חבילות, קמפיינים מתמשכים של פרסום רב-יומי שנועדו להחזיק מעמד זמן רב יותר מ"הסרות", המשך המיקוד בכלי Web3 ו-DeFi (דפוס שהואץ משמעותית בשנת 2026), ושימוש גובר בשמות חבילות גנריים דמויי רעש שתוכננו כדי להתחמק מגילוי על ידי מיזוג בעצי תלות רגילים.
תמונת מצב שבועית זו היא חלק מסקירת הקוד הזדוני המתמשכת שלנו, שבה אנו מאמתים איומים חדשים ומספקים מודיעין מעשי שיעזור לצוותי DevSecOps להגן עליהם. pipelineלפני שנגרם נזק. בואו ננתח מה גילינו השבוע ולמה זה חשוב.
אל תתנו לקמפיינים מתואמים להגיע אליכם Pipelines
סיכום השבוע לא עסק באיום בודד; הוא עסק בקנה מידה. מעל 200 חבילות מאושרות, הצפות גרסאות מתמשכות על פני מספר ימים, וקמפיינים של רישום בכמות גדולה מבוססי סקריפטים הפועלים מהר יותר ממה שבדיקות ידניות יכולות לעקוב. התוקפים לא מחכים שתשיג את הפער.
זיהוי מוקדם של תוכנות זדוניות של Xygeni מנטר באופן רציף את npm, PyPI ורישומים אחרים, ומסמן איומים ברגע הפרסום, לא לאחר שהם נחתו בגרסה זדונית. כאשר קמפיין מפרסם 21 גרסאות של אותה חבילה זדונית במשך ארבעה ימים, סריקה שבועית לא תופסת דבר בזמן.
קסיגני'ס Open Source Security הפתרון מעניק לצוותי ה-DevSecOps שלכם את הנראות בזמן אמת וקביעת העדיפויות הדרושים להם כדי להישאר צעד אחד קדימה בדיוק בסוג כזה של לחץ מתואם, כך שה... pipelineיישארו נקיים מבלי להאט את הצוותים שלכם.




