Elke week, ons wanware-opsporingstelsels skandeer duisende nuwe en opgedateerde pakkette oor openbare registers soos npm en PyPI. Hierdie week was geen uitsondering nie.
Ons het meer as 200 kwaadwillige pakkette tussen 12 Junie en 19 Junie 2026 bevestig, hoofsaaklik oor npm, met bykomende gevalle in PyPI. Verskeie het in gekoördineerde groepe verskyn, herhaalde kwaadwillige vrystellings wat onder dieselfde name of oor nou verwante pakketfamilies gepubliseer is.
Die uitstaande saak hierdie week was sensivity, wat npm oorstroom het met meer as 70 weergawes oor die 2.5.x-reeks, wat oor verskeie dae bevestig is. Ander noemenswaardige groepe het 'n vlaag van @solana-labs tiposquats wat die Solana-ekosisteem teiken (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — oor twee afsonderlike publikasieveldtogte op 7 Junie en 8 Junie), die @nstrlabs familie (sdk, ixel, utils, shared-components, api-client, auth — afhanklikheidsverwarringsaanval teen 'n interne pakketnaamruimte), die @klapp-login-platform groep (native-sdk, oidc, routes — die nabootsing van 'n verifikasieplatform), internallib_v557 en internallib_v984 (verskeie weergawes van verduisterde interne biblioteekbedrieërs), pocteszep (6 weergawes gepubliseer op 11 Junie), en 'n groep kripto- en Web3-nutsdienste, insluitend blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, en farming-tools-12. Die morningstar-design-system pakket het op 10 Junie in drie weergawes verskyn en 'n bekende finansiële ontwerpstelsel nageboots.
Vanaf 13 Junie het die tempo versnel. houzidawang806 Die groep alleen het meer as 25 weergawes in 'n enkele dag gepubliseer, saam met broers en susters houzidawang807 en houzidawang808. Die metrics-pipeline-d8k2 pakket is tussen 15 en 18 Junie deurlopend in 21 weergawes herpubliseer — 'n volgehoue ontduikingsveldtog wat ontwerp is om voor te bly op blokkeringslyste. Die friendly-greeter-demo pakket het deur die week weer in verskillende weergawes verskyn. Nuwe pogings tot afhanklikheidsverwarring het onder opgeduik. xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, en verskeie ander — almal met opgeblase weergawenommers in die 999.x-reeks. 'n Vars groep generiese nutsname met ewekansige heksadesimale agtervoegsels (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) het op 18–19 Junie verskyn, in ooreenstemming met geskrewe grootmaatregistrasie. Die week het afgesluit met trimprompt, trimprompt-hub, claude-cup, en web3-crypto-address-utils bevestig op 19 Junie. In PyPI, neuralbridge-sdk (vyf weergawes oor 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1, en aiaddin-agent is deur die week bevestig.
Dit was nie geïsoleerde afwykings nie. Wat hierdie week uitgestaan het, was die konsentrasie van afhanklikheidsverwarringsaanvalle teen interne pakketnaamruimtes, die volgehoue meerdaagse publikasieveldtogte wat ontwerp is om verwyderings te oorleef, die voortgesette teikenstelling van Web3- en DeFi-gereedskap (’n patroon wat in 2026 aansienlik versnel het), en ’n groeiende gebruik van generiese, geraasagtige pakketname wat ontwerp is om opsporing te ontduik deur in normale afhanklikheidsbome in te meng.
Hierdie weeklikse momentopname is deel van ons deurlopende Malicious Code Digest, waar ons nuwe bedreigings valideer en bruikbare intelligensie verskaf om DevSecOps-spanne te help om hul ... te beskerm. pipelines voordat skade plaasvind. Kom ons kyk na wat ons hierdie week gevind het en hoekom dit saak maak.
Moenie dat gekoördineerde veldtogte jou bereik nie Pipelines
Hierdie week se opsomming het nie oor 'n enkele bedreiging gegaan nie; dit het oor skaal gegaan. Meer as 200 bevestigde pakkette, volgehoue weergawe-oorstromings oor verskeie dae, en geskrewe grootmaatregistrasieveldtogte wat vinniger loop as wat handmatige hersienings kan dophou. Die aanvallers wag nie vir jou om in te haal nie.
Xygeni Vroeë Opsporing van Wanware monitor npm, PyPI en ander registers voortdurend en merk bedreigings op die oomblik van publikasie, nie nadat hulle in 'n weergawe beland het nie. Wanneer 'n veldtog 21 weergawes van dieselfde kwaadwillige pakket oor vier dae publiseer, vang 'n weeklikse skandering niks betyds op nie.
Xygeni's Open Source Security oplossing gee jou DevSecOps-spanne die intydse sigbaarheid en prioritisering wat hulle nodig het om voor te bly op presies hierdie soort gekoördineerde druk, sodat jou pipelines bly skoon sonder om jou spanne te vertraag.




