Bal all Woch, eis Malware-Detektiounssystemer scannen Dausende vun neien an aktualiséierte Paketen iwwer ëffentlech Registere wéi npm a PyPI. Dës Woch war keng Ausnam.
Mir hunn tëscht dem 7. an dem 12. Juni 2026 iwwer 130 béiswëlleg Pakete confirméiert, haaptsächlech iwwer npm, mat weidere Fäll a PyPI. E puer sinn a koordinéierte Cluster opgetrueden, widderholl béiswëlleg Verëffentlechungen, déi ënner de selwechten Nimm oder iwwer enk verwandte Paketfamillje publizéiert goufen.
De besonnesche Fall dës Woch war sensivity, déi npm mat iwwer 40 Versiounen am 2.5.x Beräich iwwerflut huet, déi iwwer verschidde Deeg bestätegt goufen. Aner bemierkenswäert Cluster waren eng Well vun @solana-labs Typosquats, déi sech op den Solana-Ökosystem konzentréieren (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — iwwer zwou separat Publikatiounskampagnen de 7. Juni an den 8. Juni), @nstrlabs Famill (sdk, ixel, utils, shared-components, api-client, auth — Ofhängegkeetsverwirrungsattack géint en internen Package-Namespace), den @klapp-login-platform Grupp (native-sdk, oidc, routes — eng Authentifikatiounsplattform imitéieren), internallib_v557 an internallib_v984 (verschidden Versioune vu verschleierten internen Bibliothéiksimposteuren), pocteszep (6 Versioune publizéiert den 11. Juni), an e Cluster vu Krypto- an Web3-Utilities, dorënner blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, an farming-tools-12. d' morningstar-design-system De Package ass den 10. Juni an dräi Versiounen erschéngen, andeems en e bekannte Finanzdesignsystem imitéiert huet. Am PyPI, helixagentai, telegramlite, an cdjeez goufen iwwer d'Woch confirméiert.
Dëst waren keng isoléiert Anomalien. Wat dës Woch opgefall ass, war d'Konzentratioun vun Ofhängegkeets-Verwirrungsattacken géint intern Pakete-Namespacen, déi laangfristeg Verëffentlechung vun der ... sensivity Cluster, an déi weider Zilsetzung vu Web3- an Solana-Tooling, e Muster, dat sech am Joer 2026 däitlech beschleunegt huet.
Dëse wöchentleche Snapshot ass Deel vun eisem lafende Malicious Code Digest, wou mir nei Bedrohungen validéieren an ëmsetzbar Informatiounen ubidden, fir DevSecOps-Teams ze hëllefen, hir ... ze schützen. pipelines ier Schued entsteet.
Loosst eis opbriechen, wat mir dës Woch fonnt hunn a firwat et wichteg ass.
Loosst keng béiswëlleg Paketen an d'Produktioun kommen
D'Pakete vun deenen Är Équipen ugewise sinn, ginn ëmmer méi als Entrée benotzt. Xygeni Fréizäiteg Malware Detektioun iwwerwaacht Registere a Echtzäit, sou datt Gefore wéi déi am Digest vun dëser Woch blockéiert ginn, ier se Är Builds erreechen.
D'Resultater vun dëser Woch erënneren drun, datt d'Taktiken ëmmer méi bewosst ginn. Versiounsflut, Namespace-Imitatioun a koordinéiert Kampagnen, déi iwwer méi Deeg daueren, sinn net méi Randfäll, si sinn... standard Spillbuch fir Ugräifer. Eenzel Scans an manuell Audits kënnen net mat Kampagnen mithalen, déi gläichzäiteg Dosende vu Versiounen iwwer verschidde Deeg a Registrierungen publizéieren.
Xygeni's Open Source Security Dës Léisung gëtt Ären DevSecOps-Teams eng kontinuéierlech Iwwersiicht iwwer npm, PyPI a méi, andeems se schiedlech Pakete beim Publikatiounszäitpunkt erkennt, dat wat e reellt ausnotzbare Risiko duerstellt, prioritär behandelt a de Wee vun der Detektioun bis zur Sanéierung verkierzt. Sou kënnen Är Teams séier liwweren, ouni Kompromësser bei der Sécherheet ze maachen.




