Қариб ҳар ҳафта, системаҳои муайянкунии нармафзори зараровари мо ҳазорҳо бастаҳои нав ва навшударо дар феҳристҳои давлатӣ ба монанди npm ва PyPI скан мекунанд. Ин ҳафта низ истисно набуд.
Мо аз 7 то 12 июни соли 2026 беш аз 130 бастаи зарароварро тасдиқ кардем, ки асосан дар npm буданд ва ҳолатҳои иловагӣ дар PyPI буданд. Якчандтои онҳо дар кластерҳои ҳамоҳангшуда пайдо шуданд, нашрияҳои такрории зараровар бо ҳамон номҳо ё дар байни оилаҳои бастаҳои ба ҳам наздик нашршуда.
Ҳодисаи барҷастаи ин ҳафта ин буд sensivity, ки npm-ро бо зиёда аз 40 версияи версияшуда дар диапазони 2.5.x пур кард ва дар тӯли чанд рӯз тасдиқ шуд. Дигар кластерҳои назаррас мавҷи @solana-labs хатогиҳои чопӣ, ки ба экосистемаи Солана нигаронида шудаанд (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — дар ду маъракаи нашри алоҳида дар рӯзҳои 7 ва 8 июн), @nstrlabs оила (sdk, ixel, utils, shared-components, api-client, auth — ҳамлаи нофаҳмии вобастагӣ бар зидди фазои номии бастаи дохилӣ), the @klapp-login-platform гурӯҳ (native-sdk, oidc, routes — тақлид кардани платформаи аутентификатсия), internallib_v557 ва internallib_v984 (версияҳои сершумори қаллобони китобхонаи дохилии печида), pocteszep (6 версия дар 11 июн нашр шудааст), ва як кластери барномаҳои крипто ва Web3, аз ҷумла blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87ва farming-tools-12. Дар morningstar-design-system баста дар се версия дар 10 июн пайдо шуд, ки тақлиди як системаи маъруфи тарроҳии молиявӣ буд. Дар PyPI, helixagentai, telegramliteва cdjeez дар тӯли ҳафта тасдиқ карда шуданд.
Инҳо аномалияҳои ҷудогона набуданд. Он чизе, ки дар ин ҳафта мушоҳида шуд, тамаркузи ҳамлаҳои нофаҳмиҳои вобастагӣ ба фазоҳои номҳои дохилии бастаҳо, нашри пайвастаи чандрӯзаи ... буд. sensivity кластер ва ҳадафгирии минбаъдаи абзорҳои Web3 ва Solana, ки намунае, ки дар соли 2026 ба таври назаррас суръат гирифтааст.
Ин акси ҳафтаина қисми Дайҷести рамзҳои зараровари мост, ки дар он мо таҳдидҳои навро тасдиқ мекунем ва барои кӯмак ба гурӯҳҳои DevSecOps дар ҳифзи онҳо маълумоти амалиро пешниҳод мекунем. pipelineс пеш аз он ки зарар расад.
Биёед он чизеро, ки ин ҳафта ёфтем ва чаро он муҳим аст, таҳлил кунем.
Нагузоред, ки бастаҳои зараровар ба истеҳсолот расанд
Бастаҳое, ки дастаҳои шумо ба онҳо такя мекунанд, бештар ҳамчун нуқтаи вуруд истифода мешаванд. Муайянкунии барвақтии нармафзори зараровари Xygeni регистрҳоро дар вақти воқеӣ назорат мекунад, аз ин рӯ таҳдидҳо ба монанди таҳдидҳое, ки дар дайҷести ин ҳафта мавҷуданд, пеш аз расидан ба сохторҳои шумо масдуд карда мешаванд.
Натиҷаҳои ин ҳафта хотиррасон мекунанд, ки тактикаҳо бештар тарҳрезӣ мешаванд. Пур шудани версияҳо, тақлид кардани фазои номҳо ва маъракаҳои ҳамоҳангшудаи чандрӯза дигар ҳолатҳои ниҳоӣ нестанд, онҳо ҳастанд. standard Дастури бозии ҳамлагар. Сканҳои якдафъаина ва аудитҳои дастӣ наметавонанд бо маъракаҳое, ки даҳҳо версияҳоро дар тӯли рӯзҳои гуногун ва феҳристҳо ҳамзамон нашр мекунанд, ҳамқадам бошанд.
Xygeni's Open Source Security Ин ҳалли масъала ба дастаҳои DevSecOps-и шумо имкон медиҳад, ки дар npm, PyPI ва берун аз он намоёнии доимӣ дошта бошанд, бастаҳои зарароварро дар лаҳзаи нашр муайян кунанд, ба он чизе, ки хатари воқеии истифодашавандаро ба вуҷуд меорад, афзалият диҳанд ва роҳро аз ошкоркунӣ то ислоҳ кӯтоҳ кунанд. Ҳамин тариқ, дастаҳои шумо метавонанд бидуни осеб дидан ба амният зуд интиқол диҳанд.




