Ó fẹ́rẹ̀ jẹ́ gbogbo ọ̀sẹ̀, awọn eto wiwa malware wa n ṣe ayẹwo ẹgbẹẹgbẹrun awọn package tuntun ati awọn imudojuiwọn kọja awọn iforukọsilẹ gbogbogbo bi npm ati PyPI. Ọsẹ yii kii ṣe iyatọ.
A ti ṣe àfihàn àwọn ìdìpọ̀ ìbàjẹ́ tó lé ní 130 láàárín ọjọ́ keje oṣù kẹfà sí ọjọ́ kejìlá oṣù kẹfà, ọdún 2026, èyí tó pọ̀ jùlọ ní gbogbo ìgbà ní gbogbo ìgbà ní npm, pẹ̀lú àwọn ọ̀ràn míràn nínú PyPI. Ọ̀pọ̀lọpọ̀ farahàn nínú àwọn ìdìpọ̀ ìṣètò, àwọn ìtújáde ìbàjẹ́ tí a tẹ̀ jáde lábẹ́ orúkọ kan náà tàbí láàárín àwọn ìdílé ìdìpọ̀ tí ó jọra.
Ọ̀ràn tó gbajúmọ̀ jùlọ ní ọ̀sẹ̀ yìí ni sensivity, èyí tí ó kún fún àwọn ìtújáde tí ó ju 40 lọ ní gbogbo 2.5.x, tí a ti fìdí rẹ̀ múlẹ̀ ní ọ̀pọ̀ ọjọ́. Àwọn ẹgbẹ́ mìíràn tí ó ṣe pàtàkì pẹ̀lú ìgbì ti @solana-labs àwọn àmì ìkọ̀wé tí ó ń fojú sí ìṣẹ̀dá Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — ní gbogbo àwọn ìpolówó ìtẹ̀wé méjì ọ̀tọ̀ọ̀tọ̀ ní ọjọ́ keje oṣù kẹfà àti ọjọ́ kẹjọ oṣù kẹfà), @nstrlabs ìdílé (sdk, ixel, utils, shared-components, api-client, auth — ìkọlù ìdàrúdàpọ̀ ìgbẹ́kẹ̀lé lòdì sí ààyè orúkọ inú package), @klapp-login-platform ẹgbẹ́ (native-sdk, oidc, ipa ọ̀nà — ṣíṣe àfarawé pẹpẹ ìfàṣẹsí kan), internallib_v557 ati internallib_v984 (ọpọlọpọ awọn ẹya ti awọn aṣiwère inu ile-ikawe ti o di mimọ), pocteszep (àwọn àtúnṣe mẹ́fà tí a tẹ̀ jáde ní ọjọ́ kọkànlá oṣù kẹfà), àti àkójọpọ̀ àwọn ohun èlò ìlò crypto àti Web3 pẹ̀lú blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, Ati farming-tools-12. awọn morningstar-design-system Àkójọ náà farahàn ní àwọn àtúnṣe mẹ́ta ní ọjọ́ kẹwàá oṣù kẹfà, ó ń ṣe àfarawé ètò ìnáwó tí a mọ̀ dáadáa. Nínú PyPI, helixagentai, telegramlite, Ati cdjeez ti jẹrisi jakejado ọsẹ.
Àwọn wọ̀nyí kì í ṣe àwọn ohun àìdáa kan pàtó. Ohun tó hàn gbangba ní ọ̀sẹ̀ yìí ni ìdààmú ìgbẹ́kẹ̀lé àwọn ènìyàn lòdì sí àwọn orúkọ inú package, ìtẹ̀jáde ọjọ́ púpọ̀ ti ìwé ìròyìn náà. sensivity ìṣọ̀kan, àti ìfojúsùn tí ó ń tẹ̀síwájú nínú iṣẹ́ Web3 àti Solana, ìlànà kan tí ó ti yára sí i ní ọdún 2026.
Àwòrán ọ̀sọ̀ọ̀sẹ̀ yìí jẹ́ ara Àkójọ Ìlànà Ìwà-búburú wa tí ń lọ lọ́wọ́, níbi tí a ti ń fìdí àwọn ìhalẹ̀mọ́ tuntun múlẹ̀ àti láti pèsè ìmòye tí ó ṣeé ṣe láti ran àwọn ẹgbẹ́ DevSecOps lọ́wọ́ láti dáàbòbò wọ́n. pipelinekí ó tó di pé ìbàjẹ́ ṣẹlẹ̀.
Ẹ jẹ́ ká ṣàlàyé ohun tí a rí ní ọ̀sẹ̀ yìí àti ìdí tí ó fi ṣe pàtàkì.
Má ṣe jẹ́ kí àwọn ohun ìbàjẹ́ dé ibi tí wọ́n ti ń ṣe é.
Àwọn páálí tí àwọn ẹgbẹ́ rẹ gbára lé ni wọ́n ń lò gẹ́gẹ́ bí ibi tí wọ́n ń gbà wọlé. Ṣíṣàwárí Malware ní ìbẹ̀rẹ̀ Xygeni ó ń ṣe àyẹ̀wò àwọn ìforúkọsílẹ̀ ní àkókò gidi, nítorí náà, àwọn ìhalẹ̀ bí èyí tí ó wà nínú àkọsílẹ̀ ọ̀sẹ̀ yìí ni a ó dí kí wọ́n tó dé àwọn ìkọ́lé rẹ.
Àwọn àwárí ọ̀sẹ̀ yìí jẹ́ ìrántí pé àwọn ọgbọ́n náà ń di ohun tí a mọ̀ sí i. Ìkún omi, fífi orúkọ sí orúkọ, àti àwọn ìpolongo tí a ṣètò fún ọ̀pọ̀ ọjọ́ kì í ṣe ọ̀ràn tó burú mọ́, wọ́n jẹ́ standard Ìwé eré olùkọlù. Àwọn àyẹ̀wò ìgbà kan àti àyẹ̀wò ọwọ́ kò lè bá àwọn ìpolówó tí ó ń tẹ̀ ọ̀pọ̀lọpọ̀ àwọn àtúnṣe jáde ní ọ̀pọ̀ ọjọ́ àti àwọn ìforúkọsílẹ̀ ní àkókò kan náà.
Xygeni's Open Source Security Ojutu naa fun awọn ẹgbẹ DevSecOps rẹ ni ifihan nigbagbogbo jakejado npm, PyPI, ati awọn miiran, lati ṣawari awọn akopọ ipalara ni akoko ti a tẹjade, lati ṣe pataki ohun ti o fa ewu gidi ti a le lo, ati lati kuru ọna lati wiwa si atunṣe. Nitorinaa awọn ẹgbẹ rẹ le firanṣẹ ni iyara laisi ibajẹ lori aabo.




