Gandrīz katru nedēļuMūsu ļaunprogrammatūras noteikšanas sistēmas skenē tūkstošiem jaunu un atjauninātu pakotņu publiskos reģistros, piemēram, npm un PyPI. Šī nedēļa nebija izņēmums.
Laikā no 2026. gada 7. jūnija līdz 12. jūnijam mēs apstiprinājām vairāk nekā 130 ļaunprātīgas pakotnes, galvenokārt npm paketē, ar papildu gadījumiem PyPI. Vairākas pakotnes parādījās koordinētos klasteros, atkārtotās ļaunprātīgās versijās, kas publicētas ar vienādiem nosaukumiem vai cieši saistītās pakotņu saimēs.
Šīs nedēļas spilgtākais gadījums bija sensivity, kas pārpludināja npm ar vairāk nekā 40 versiju izlaidumiem 2.5.x diapazonā, kas tika apstiprināti vairāku dienu laikā. Citi ievērojami klasteri ietvēra vilni @solana-labs typosquats, kas vērsti uz Solana ekosistēmu (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — divās atsevišķās publicēšanas kampaņās 7. jūnijā un 8. jūnijā), @nstrlabs saime (sdk, ixel, utils, shared-components, api-client, auth — atkarības apjukuma uzbrukums iekšējai pakotnes vārdtelpai), @klapp-login-platform grupa (native-sdk, oidc, maršruti — autentifikācijas platformas uzdošanās), internallib_v557 un internallib_v984 (vairākas apmulsinātu iekšējo bibliotēku krāpnieku versijas), pocteszep (6 versijas publicētas 11. jūnijā) un kripto un Web3 utilītu kopa, tostarp blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, un farming-tools-12. morningstar-design-system pakotne parādījās trīs versijās 10. jūnijā, atdarinot labi zināmu finanšu dizaina sistēmu. PyPI, helixagentai, telegramlite, un cdjeez tika apstiprināti visas nedēļas garumā.
Tās nebija atsevišķas anomālijas. Šonedēļ īpaši izcēlās atkarību apjukuma uzbrukumu koncentrācija pret iekšējām pakotņu nosaukumtelpām, ilgstoša vairāku dienu publicēšana. sensivity klasteris un nepārtraukta Web3 un Solana rīku mērķēšana, kas 2026. gadā ir ievērojami paātrinājusies.
Šis iknedēļas momentuzņēmums ir daļa no mūsu notiekošā ļaunprātīgā koda apkopojuma, kurā mēs validējam jaunus draudus un sniedzam noderīgu informāciju, lai palīdzētu DevSecOps komandām aizsargāt savus pipelines pirms bojājumu rašanās.
Apskatīsim, ko mēs atklājām šonedēļ un kāpēc tas ir svarīgi.
Neļaujiet ļaunprātīgām pakotnēm sasniegt ražošanas vidi
Pakotnes, no kurām ir atkarīgas jūsu komandas, arvien biežāk tiek izmantotas kā ieejas punkts. Xygeni agrīna ļaunprogrammatūras noteikšana uzrauga reģistrus reāllaikā, tāpēc tādi draudi kā šīs nedēļas apskatā minētie tiek bloķēti, pirms tie sasniedz jūsu versijas.
Šīs nedēļas atklājumi atgādina, ka taktika kļūst apzinātāka. Versiju pārpludināšana, vārdtelpas personifikācija un vairāku dienu koordinētas kampaņas vairs nav robežgadījumi, tās ir standard uzbrucēja rokasgrāmata. Vienreizējas skenēšanas un manuālas revīzijas nevar sekot līdzi kampaņām, kas vienlaikus publicē desmitiem versiju vairāku dienu laikā un reģistros.
Ksigēni Open Source Security Šis risinājums nodrošina jūsu DevSecOps komandām nepārtrauktu pārredzamību npm, PyPI un citos procesos, atklājot kaitīgas pakotnes publicēšanas brīdī, prioritāri nosakot tās, kas rada reālu izmantojamu risku, un saīsinot ceļu no atklāšanas līdz novēršanai. Tādējādi jūsu komandas var ātri piegādāt, neapdraudot drošību.




