ар жума сайын, биздин зыяндуу программаларды аныктоо системаларыбыз npm жана PyPI сыяктуу коомдук реестрлердеги миңдеген жаңы жана жаңыртылган пакеттерди сканерлейт. Бул апта да четте калган жок.
Биз 2026-жылдын 12-июнунан 19-июнуна чейин 200дөн ашык зыяндуу пакеттерди тастыктадык, алардын көпчүлүгү npm аркылуу, ал эми кошумча учурлар PyPIде болгон. Бир нечеси координацияланган кластерлерде пайда болду, ошол эле аталыштар менен же бири-бирине жакын пакет үй-бүлөлөрүндө кайталанган зыяндуу чыгарылыштар жарыяланды.
Бул аптадагы эң маанилүү окуя болду sensivity, ал npmди 2.5.x диапазонунда 70тен ашык версияланган релиздер менен каптап, бир нече күндүн ичинде тастыкталган. Башка көрүнүктүү кластерлерге төмөнкүлөр кирген: @solana-labs Солана экосистемасын бутага алган typosquats (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — 7 жана 8-июнда өткөн эки башка басма кампаниясы боюнча), @nstrlabs үй-бүлө (sdk, ixel, utils, shared-components, api-client, auth — ички пакет аталыш мейкиндигине карата көз карандылыктын башаламандыгына чабуул), @klapp-login-platform топ (native-sdk, oidc, routes — аутентификация платформасынын атын жамынуу), internallib_v557 жана internallib_v984 (ички китепкананын жасалма жасалмаларынын бир нече версиялары), pocteszep (11-июнда жарыяланган 6 версия), жана крипто жана Web3 утилиталарынын кластери, анын ичинде blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, жана farming-tools-12. The morningstar-design-system пакет 10-июнда үч версияда пайда болду, алар белгилүү финансылык дизайн системасын туурашат.
13-июндан баштап темп тездеди. houzidawang806 кластердин өзү бир күндө 25тен ашык версияны басып чыгарган, ага бир туугандар да кошулган houzidawang807 жана houzidawang808. The metrics-pipeline-d8k2 топтом 15-июндан 18-июнга чейин 21 версияда үзгүлтүксүз кайра басылып чыккан — бул блок тизмелеринен алдыда болуу үчүн иштелип чыккан тынымсыз качуу өнөктүгү. friendly-greeter-demo пакет жума бою версияларда кайра пайда болуп жатты. Көз карандылыкты жаңыча түшүнүү аракеттери пайда болду xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesжана башка бир нече — бардыгы 999.x диапазонунда жогорулатылган версия номерлерин алып жүрөт. Кокустук он алтылык мүчөлөр менен жалпы утилиталардын аталыштарынын жаңы кластери (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) 18–19-июнда пайда болду, бул сценарий боюнча жапырт каттоого ылайык келет. Апта ... менен жабылды trimprompt, trimprompt-hub, claude-cup, жана web3-crypto-address-utils 19-июнда тастыкталды. PyPIде, neuralbridge-sdk (4.5.x–5.1.x версияларында беш версия), deepstrain, teambot-ai, hello-test-s1, жана aiaddin-agent жума бою тастыкталды.
Булар обочолонгон аномалиялар эмес болчу. Бул аптада өзгөчөлөнгөн нерсе - ички пакеттердин аталыш мейкиндиктерине карата көз карандылыктын башаламандык чабуулдарынын топтолушу, алып салуулардан ашып түшүү үчүн иштелип чыккан көп күндүк узак мөөнөттүү жарыялоо кампаниялары, Web3 жана DeFi куралдарын үзгүлтүксүз бутага алуу (бул үлгү 2026-жылы бир топ тездеди) жана кадимки көз карандылык дарактарына аралашып, аныктоодон качуу үчүн иштелип чыккан жалпы, ызы-чуу сыяктуу пакеттердин аталыштарынын көбөйүшү болду.
Бул жумалык кыскача маалымат биздин уланып жаткан Зыяндуу Код Дайджестинин бир бөлүгү болуп саналат, анда биз жаңы коркунучтарды текшерип, DevSecOps командаларына өздөрүнүн коопсуздугун коргоого жардам берүү үчүн иш жүзүндө колдонулуучу чалгындоо маалыматтарын беребиз pipelineзыян келтирилгенге чейин. Келгиле, ушул аптада эмне тапканыбызды жана анын эмне үчүн маанилүү экенин талдап көрөлү.
Координацияланган кампаниялардын сизге жетишине жол бербеңиз Pipelines
Бул аптадагы дайджест бир гана коркунуч жөнүндө эмес, масштаб жөнүндө болду. 200дөн ашык тастыкталган пакеттер, бир нече күн бою версиялардын үзгүлтүксүз агылып кириши жана кол менен карап чыгуулар байкай алгандан да тезирээк иштеп жаткан сценарий боюнча жапырт каттоо кампаниялары. Чабуулчулар сиздин кууп жетүүңүздү күтүшпөйт.
Xygeni эрте зыяндуу программаларды аныктоо npm, PyPI жана башка реестрлерди тынымсыз көзөмөлдөп, коркунучтарды алар курулгандан кийин эмес, жарыяланган учурда белгилейт. Кампания бир эле зыяндуу пакеттин 21 версиясын төрт күндүн ичинде жарыялаганда, жумалык сканерлөө эч нерсени өз убагында аныктабайт.
Xygeni's Open Source Security чечим сиздин DevSecOps командаларыңызга дал ушул координацияланган кысымдан алдыда болуу үчүн зарыл болгон реалдуу убакыт режиминдеги көрүнүүнү жана артыкчылыктарды берет, андыктан сиздин pipelineКомандаларыңызды жайлатпастан, таза бойдон калыңыз.




