Halos bawat linggo, ini-scan ng aming mga sistema ng pagtuklas ng malware ang libu-libong bago at na-update na mga pakete sa mga pampublikong rehistro tulad ng npm at PyPI. Hindi naiiba ang linggong ito.
Nakumpirma namin ang mahigit 130 malisyosong pakete sa pagitan ng Hunyo 7 at Hunyo 12, 2026, pangunahin sa npm, na may karagdagang mga kaso sa PyPI. Marami ang lumitaw sa mga coordinated cluster, paulit-ulit na malisyosong paglabas na inilathala sa ilalim ng parehong pangalan o sa mga malapit na kaugnay na pamilya ng pakete.
Ang nangungunang kaso ngayong linggo ay sensivity, na bumaha sa npm ng mahigit 40 bersyong may bersyon sa hanay na 2.5.x, na nakumpirma sa loob ng maraming araw. Kasama sa iba pang kapansin-pansing kumpol ang isang alon ng @solana-labs mga typosquat na tumatarget sa Solana ecosystem (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — sa dalawang magkahiwalay na kampanya sa paglalathala noong Hunyo 7 at Hunyo 8), ang @nstrlabs pamilya (sdk, ixel, utils, shared-components, api-client, auth — dependency confusion attack laban sa isang internal package namespace), ang @klapp-login-platform grupo (native-sdk, oidc, routes — nagpapanggap na isang platform ng pagpapatotoo), internallib_v557 at internallib_v984 (maraming bersyon ng mga nalilitong impostor sa loob ng aklatan), pocteszep (6 na bersyon ang inilathala noong Hunyo 11), at isang kumpol ng mga crypto at Web3 utilities kabilang ang blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, at farming-tools-12. ang morningstar-design-system Ang pakete ay lumabas sa tatlong bersyon noong Hunyo 10, na nagpapanggap bilang isang kilalang sistema ng disenyo sa pananalapi. Sa PyPI, helixagentai, telegramlite, at cdjeez ay nakumpirma sa buong linggo.
Hindi ito mga nakahiwalay na anomalya. Ang kapansin-pansin ngayong linggo ay ang konsentrasyon ng mga pag-atake ng pagkalito dahil sa dependency laban sa mga internal package namespace, ang patuloy na paglalathala ng mga ito sa loob ng maraming araw. sensivity kumpol, at ang patuloy na pag-target ng Web3 at Solana tooling, isang pattern na bumilis nang malaki noong 2026.
Ang lingguhang snapshot na ito ay bahagi ng aming patuloy na Malicious Code Digest, kung saan pinapatunayan namin ang mga bagong banta at nagbibigay ng naaaksyunang impormasyon upang matulungan ang mga DevSecOps team na protektahan ang kanilang mga... pipelinebago mangyari ang pinsala.
Suriin natin ang mga natuklasan natin ngayong linggo at kung bakit ito mahalaga.
Huwag Hayaang Makarating sa Produksyon ang mga Malisyosong Pakete
Ang mga paketeng inaasahan ng inyong mga koponan ay lalong ginagamit bilang isang entry point. Maagang Pagtuklas ng Malware ng Xygeni Sinusubaybayan ang mga registry nang real time, kaya ang mga banta tulad ng mga nasa digest ngayong linggo ay naharangan bago pa man makarating ang mga ito sa iyong mga build.
Ang mga natuklasan ngayong linggo ay isang paalala na ang mga taktika ay nagiging mas sinadya. Ang pagbaha ng bersyon, pagpapanggap na namespace, at mga kampanyang pinag-ugnay sa loob ng maraming araw ay hindi na mga edge case, kundi mga edge case na. standard playbook ng mga umaatake. Hindi kayang sabayan ng mga minsanang pag-scan at manu-manong pag-audit ang mga kampanyang naglalathala ng dose-dosenang bersyon sa maraming araw at mga registry nang sabay-sabay.
Xygeni's Open Source Security Ang solusyong ito ay nagbibigay sa iyong mga DevSecOps team ng patuloy na visibility sa npm, PyPI, at higit pa, na nakaka-detect ng mga mapaminsalang pakete sa oras ng paglalathala, inuuna ang mga posibleng panganib, at pinapaikli ang landas mula sa pag-detect hanggang sa remediation. Para mabilis na makapagpadala ang iyong mga team nang hindi nakompromiso ang seguridad.




