Pothuajse çdo javë, sistemet tona të zbulimit të programeve keqdashëse skanojnë mijëra paketa të reja dhe të përditësuara në regjistrat publikë si npm dhe PyPI. Kjo javë nuk bëri përjashtim.
Ne konfirmuam mbi 130 paketa dashakeqe midis 7 qershorit dhe 12 qershorit 2026, kryesisht në npm, me raste shtesë në PyPI. Disa u shfaqën në grupe të koordinuara, lëshime të përsëritura dashakeqe të publikuara nën të njëjtat emra ose në familje paketash të lidhura ngushtë.
Rasti më i spikatur këtë javë ishte sensivity, e cila e përmbyti npm me mbi 40 lëshime të versionuara në gamën 2.5.x, të konfirmuara gjatë disa ditëve. Grumbuj të tjerë të dukshëm përfshinin një valë @solana-labs typosquats që synojnë ekosistemin Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — në dy fushata të veçanta publikimi më 7 qershor dhe 8 qershor), @nstrlabs familja (sdk, ixel, utils, komponentë të përbashkët, api-client, auth — sulm i konfuzionit të varësisë kundër një hapësire emrash të paketave të brendshme), @klapp-login-platform grup (native-sdk, oidc, routes — duke imituar një platformë vërtetimi), internallib_v557 internallib_v984 (versione të shumëfishta të mashtruesve të ngatërruar të bibliotekës së brendshme), pocteszep (6 versione të publikuara më 11 qershor), dhe një grup shërbimesh kripto dhe Web3 duke përfshirë blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87dhe farming-tools-12. morningstar-design-system paketa u shfaq në tre versione më 10 qershor, duke imituar një sistem të njohur të dizajnit financiar. Në PyPI, helixagentai, telegramlitedhe cdjeez u konfirmuan gjatë gjithë javës.
Këto nuk ishin anomali të izoluara. Ajo që spikati këtë javë ishte përqendrimi i sulmeve të konfuzionit të varësisë kundër hapësirave të emrave të paketave të brendshme, publikimi i vazhdueshëm shumëditor i sensivity klasterin, dhe synimin e vazhdueshëm të mjeteve Web3 dhe Solana, një model që është përshpejtuar ndjeshëm në vitin 2026.
Kjo përmbledhje javore është pjesë e përmbledhjes sonë të vazhdueshme të kodit keqdashës, ku ne vërtetojmë kërcënimet e reja dhe ofrojmë inteligjencë të zbatueshme për të ndihmuar ekipet DevSecOps të mbrojnë të tyret. pipelines para se të ndodhë dëmtimi.
Le të analizojmë çfarë gjetëm këtë javë dhe pse ka rëndësi.
Mos lejoni që paketat keqdashëse të arrijnë në prodhim
Paketat nga të cilat varen ekipet tuaja po përdoren gjithnjë e më shumë si pikë hyrjeje. Zbulimi i Hershëm i Malware-it Xygeni monitoron regjistrat në kohë reale, kështu që kërcënimet si ato në përmbledhjen e kësaj jave bllokohen para se të arrijnë në versionet tuaja.
Gjetjet e kësaj jave janë një kujtesë se taktikat po bëhen më të qëllimshme. Përmbytja e versioneve, imitimi i hapësirës së emrave dhe fushatat e koordinuara shumëditore nuk janë më raste të skajshme, ato janë standard manuali i sulmuesit. Skanimet e njëhershme dhe auditimet manuale nuk mund të mbajnë ritmin me fushatat që publikojnë dhjetëra versione gjatë ditëve dhe regjistrave të shumëfishta njëkohësisht.
Xygeni's Open Source Security Zgjidhja u jep ekipeve tuaja DevSecOps dukshmëri të vazhdueshme në npm, PyPI dhe më gjerë, duke zbuluar paketa të dëmshme në momentin e publikimit, duke i dhënë përparësi asaj që përbën rrezik real të shfrytëzueshëm dhe duke shkurtuar rrugën nga zbulimi në ndreqje. Kështu që ekipet tuaja mund të dërgojnë shpejt pa bërë kompromis me sigurinë.




