Kila wiki, mifumo yetu ya kugundua programu hasidi huchanganua maelfu ya vifurushi vipya na vilivyosasishwa katika sajili za umma kama vile npm na PyPI. Wiki hii haikuwa tofauti.
Tulithibitisha zaidi ya vifurushi 200 hasidi kati ya Juni 12 na Juni 19, 2026, hasa katika kipindi cha saa sita mchana, huku visa vingine vikiwa katika PyPI. Kadhaa vilionekana katika makundi yaliyoratibiwa, matoleo hasidi yaliyorudiwa yaliyochapishwa chini ya majina yaleyale au katika familia za vifurushi zinazohusiana kwa karibu.
Kesi iliyojitokeza wiki hii ilikuwa sensivity, ambayo ilifurika npm na matoleo zaidi ya 70 yaliyotolewa katika masafa ya 2.5.x, yaliyothibitishwa kwa siku nyingi. Makundi mengine mashuhuri yalijumuisha wimbi la @solana-labs typosquats zinazolenga mfumo ikolojia wa Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — katika kampeni mbili tofauti za uchapishaji mnamo Juni 7 na Juni 8), @nstrlabs familia (sdk, ixel, utils, shared-components, api-client, auth — shambulio la mkanganyiko wa utegemezi dhidi ya nafasi ya ndani ya kifurushi), @klapp-login-platform kikundi (native-sdk, oidc, routes — kuiga mfumo wa uthibitishaji), internallib_v557 na internallib_v984 (matoleo mengi ya wadanganyifu wa ndani wa maktaba waliofichwa), pocteszep (matoleo 6 yalichapishwa Juni 11), na kundi la huduma za crypto na Web3 ikijumuisha blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, na farming-tools-12. The morningstar-design-system Kifurushi hicho kilionekana katika matoleo matatu mnamo Juni 10, kikiiga mfumo maarufu wa usanifu wa kifedha.
Kuanzia Juni 13 na kuendelea, kasi iliongezeka. houzidawang806 kundi pekee lilichangia zaidi ya matoleo 25 yaliyochapishwa kwa siku moja, yakijumuishwa na ndugu houzidawang807 na houzidawang808. The metrics-pipeline-d8k2 Kifurushi hicho kilichapishwa tena mfululizo katika matoleo 21 kati ya Juni 15 na Juni 18 — kampeni endelevu ya ukwepaji iliyokusudiwa kubaki mbele ya orodha zilizozuiliwa. friendly-greeter-demo Kifurushi kiliendelea kuonekana tena katika matoleo yote ya wiki nzima. Majaribio mapya ya mkanganyiko wa utegemezi yalijitokeza chini ya xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, na zingine kadhaa — zote zikiwa na nambari za toleo zilizopanuliwa katika safu ya 999.x. Kundi jipya la majina ya matumizi ya jumla yenye viambishi tamati vya heksaidi nasibu (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) ilionekana Juni 18–19, sambamba na usajili wa wingi ulioandikwa. Wiki ilifungwa na trimprompt, trimprompt-hub, claude-cup, na web3-crypto-address-utils ilithibitishwa mnamo Juni 19. Katika PyPI, neuralbridge-sdk (matoleo matano katika 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1, na aiaddin-agent zilithibitishwa wiki nzima.
Hizi hazikuwa kasoro pekee. Kilichojitokeza wiki hii ni mkusanyiko wa mashambulizi ya mkanganyiko wa utegemezi dhidi ya nafasi za majina za vifurushi vya ndani, kampeni endelevu za uchapishaji za siku nyingi zilizoundwa ili kudumu zaidi ya kuondolewa, kulengwa kwa zana za Web3 na DeFi (muundo ambao umeongezeka kwa kasi kubwa mwaka wa 2026), na matumizi yanayoongezeka ya majina ya vifurushi vya jumla, kama kelele yaliyoundwa ili kuepuka kugunduliwa kwa kuchanganya na miti ya kawaida ya utegemezi.
Picha hii ya kila wiki ni sehemu ya Muhtasari wetu wa Kanuni Mbaya unaoendelea, ambapo tunathibitisha vitisho vipya na kutoa taarifa za kijasusi zinazoweza kutekelezwa ili kusaidia timu za DevSecOps kulinda pipelinekabla uharibifu haujatokea. Hebu tuchambue tulichokipata wiki hii na kwa nini ni muhimu.
Usiruhusu Kampeni Zilizoratibiwa Zikufikie Pipelines
Muhtasari wa wiki hii haukuwa kuhusu tishio moja; ulikuwa kuhusu ukubwa. Zaidi ya vifurushi 200 vilivyothibitishwa, toleo lililoendelea kufurika kwa siku nyingi, na kampeni za usajili wa wingi zilizoandikwa zikiendeshwa kwa kasi zaidi kuliko mapitio ya mwongozo yanavyoweza kufuatilia. Washambuliaji hawakusubiri ufikie.
Ugunduzi wa Mapema wa Programu Hasidi ya Xygeni hufuatilia npm, PyPI, na sajili zingine mfululizo, zikiashiria vitisho wakati wa kuchapishwa, si baada ya kuwasili kwenye jengo. Wakati kampeni inachapisha matoleo 21 ya kifurushi hicho hicho hasidi kwa siku nne, skanisho la kila wiki halipati chochote kwa wakati.
Xygeni's Open Source Security Suluhisho hili huzipa timu zako za DevSecOps mwonekano na kipaumbele cha wakati halisi wanachohitaji ili kuendelea mbele ya aina hii ya shinikizo lililoratibiwa, kwa hivyo pipelineEndelea kuwa safi bila kupunguza kasi ya timu zako.




