Her hefte, pergalên me yên tespîtkirina malware bi hezaran pakêtên nû û nûjenkirî li seranserê qeydên giştî yên wekî npm û PyPI dişopînin. Ev hefte jî ji vê yekê îstîsna nebû.
Me di navbera 12ê Hezîrana 2026an û 19ê Hezîrana 2026an de zêdetirî 200 pakêtên xerabkar piştrast kirin, bi piranî li seranserê npm, û rewşên din di PyPI de jî çêbûn. Çend ji wan di komên hevrêzkirî, berdanên xerabkar ên dubarekirî yên di bin heman navan de an jî li seranserê malbatên pakêtên nêzîk de xuya bûn.
doza herî berbiçav a vê hefteyê ew bû ku sensivity, ku npm bi zêdetirî 70 guhertoyên li seranserê rêza 2.5.x tijî kir, di çend rojan de piştrast kir. Komên din ên girîng pêlek ji @solana-labs typosquatên ku ekosîstema Solana hedef digirin (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — li ser du kampanyayên weşanê yên cuda di 7ê Hezîranê û 8ê Hezîranê de), @nstrlabs malbat (sdk, ixel, utils, shared-components, api-client, auth — êrîşa tevliheviya girêdayîbûnê li dijî navekî pakêtê yê navxweyî), ew @klapp-login-platform kom (native-sdk, oidc, routes - teqlîdkirina platformek pejirandinê), internallib_v557 û internallib_v984 (gelek guhertoyên sextekarên pirtûkxaneya navxweyî yên tevlihev), pocteszep (6 guhertoyên ku di 11ê Hezîranê de hatine weşandin), û komek ji amûrên krîpto û Web3-ê di nav de blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, û farming-tools-12. Ew morningstar-design-system pakêt di 10ê Hezîranê de bi sê guhertoyan xuya bû, ku xwe dispêre pergaleke sêwirana darayî ya navdar.
Ji 13ê Hezîranê û pê ve, leza çalakiyê zêde bû. houzidawang806 tenê di yek rojê de zêdetirî 25 guhertoyên ku xwişk û bira lê hatine zêdekirin, hatine weşandin. houzidawang807 û houzidawang808. Ew metrics-pipeline-d8k2 pakêt di navbera 15ê Hezîranê û 18ê Hezîranê de bi berdewamî li 21 guhertoyan ji nû ve hate weşandin - kampanyayek dûrxistina berdewam a ku ji bo pêşdebirina navnîşên astengkirinê hatî çêkirin. friendly-greeter-demo pakêt di tevahiya hefteyê de li seranserê guhertoyan ji nû ve xuya bû. Hewldanên tevliheviya girêdayîbûnê yên nû di bin de derketin holê. xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, û çendên din - hemî hejmarên guhertoyên zêdekirî di rêza 999.x de hildigirin. Komek nû ji navên karûbarên gelemperî bi paşgirên heksadeşî yên rasthatî (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) di 18-19ê Hezîranê de derket, li gorî qeydkirina girseyî ya senaryoyî. Hefte bi dawî bû trimprompt, trimprompt-hub, claude-cup, û web3-crypto-address-utils di 19ê Hezîranê de hate piştrast kirin. Di PyPI de, neuralbridge-sdk (pênc guhertoyên li seranserê 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1, û aiaddin-agent Di tevahiya hefteyê de hate piştrast kirin.
Ev ne anomalîyên îzolekirî bûn. Tiştê ku vê hefteyê derket pêş, kombûna êrîşên tevliheviya girêdayîbûnê li dijî navên pakêtên navxweyî, kampanyayên weşanê yên pir-rojî yên domdar ên ku ji bo dirêjkirina rakirinê hatine çêkirin, hedefgirtina domdar a amûrên Web3 û DeFi (şêweyek ku di sala 2026-an de bi girîngî leztir bûye), û karanîna zêde ya navên pakêtên gelemperî, yên mîna deng, ku ji bo dûrketina ji tespîtkirinê bi tevlihevkirina di nav darên girêdayîbûna normal de hatine çêkirin.
Ev wênekirina heftane beşek ji Daweta Koda Xerabkar a me ya berdewam e, ku em gefên nû piştrast dikin û îstîxbarata çalak peyda dikin da ku alîkariya tîmên DevSecOps bikin ku xwe biparêzin. pipelineberî ku zirar çêbibe. Werin em vê hefteyê tiştên ku me dîtin û çima girîng in, parve bikin.
Nehêlin Kampanyayên Hevrêzkirî Bigihîjin armancên we Pipelines
Kurteya vê hefteyê ne li ser tehdîdek tenê bû; ew li ser pîvanê bû. Zêdetirî 200 pakêtên piştrastkirî, guhertoyên domdar di nav çend rojan de diherikin, û kampanyayên qeydkirina girseyî yên senaryoyî ji ya ku nirxandinên destanî dikarin bişopînin zûtir dimeşin. Êrîşkar li benda we nînin ku hûn bigihîjin wan.
Tesbîtkirina Zû ya Malware ya Xygeni npm, PyPI, û qeydên din bi berdewamî dişopîne, gefan di kêliya weşanê de nîşan dide, ne piştî ku ew di guhertoyekê de daketine. Dema ku kampanyayek di çar rojan de 21 guhertoyên heman pakêta zirardar diweşîne, skaneke heftane di wextê xwe de tiştekî nabîne.
Xygeni's Open Source Security çareserî tîmên DevSecOps-a we di wextê rast de û pêşîniyên ku ew hewce ne dide da ku li pêşiya vê celeb zexta hevrêz bimînin, ji ber vê yekê ya we pipelinebêyî ku tîmên xwe hêdî bikin paqij bimînin.




