Кожны тыдзень, нашы сістэмы выяўлення шкоднасных праграм скануюць тысячы новых і абноўленых пакетаў у публічных рэестрах, такіх як npm і PyPI. Гэты тыдзень не стаў выключэннем.
Мы пацвердзілі больш за 200 шкоднасных пакетаў паміж 12 і 19 чэрвеня 2026 года, пераважна ў npm, а таксама дадатковыя выпадкі ў PyPI. Некалькі з іх з'яўляліся ў каардынаваных кластарах, паўторных шкоднасных рэлізах, апублікаваных пад аднымі і тымі ж назвамі або ў цесна звязаных сямействах пакетаў.
Найбольш яскравым выпадкам гэтага тыдня быў sensivity, які заваліў npm больш чым 70 версіямі рэлізаў у дыяпазоне 2.5.x, што пацвердзілася на працягу некалькіх дзён. Сярод іншых прыкметных кластараў была хваля @solana-labs тыпасквоты, накіраваныя на экасістэму Саланы (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — у рамках дзвюх асобных выдавецкіх кампаній 7 і 8 чэрвеня), @nstrlabs сям'я (sdk, ixel, utils, shared-components, api-client, auth — атака з мэтай блытаніны залежнасцей супраць унутранай прасторы імёнаў пакета), @klapp-login-platform група (native-sdk, oidc, routes — выдаючы сябе за платформу аўтэнтыфікацыі), internallib_v557 і internallib_v984 (некалькі версій заблытаных унутраных бібліятэчных самазванцаў), pocteszep (6 версій, апублікаваных 11 чэрвеня), а таксама кластар крыпта- і Web3-ўтыліт, у тым ліку blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, і farming-tools-12. morningstar-design-system Пакет з'явіўся ў трох версіях 10 чэрвеня, імітуючы вядомую сістэму фінансавага дызайну.
З 13 чэрвеня тэмпы паскорыліся. houzidawang806 толькі на кластар прыпадала больш за 25 версій, апублікаваных за адзін дзень, да якіх далучыліся браты і сёстры houzidawang807 і houzidawang808. metrics-pipeline-d8k2 Пакет бесперапынна перавыдаваўся ў 21 версіі паміж 15 і 18 чэрвеня — гэта была працяглая кампанія па ўхіленні ад распаўсюджвання, прызначаная для таго, каб апярэдзіць спісы блокаў. friendly-greeter-demo Пакет працягваў з'яўляцца ў розных версіях на працягу тыдня. Новыя спробы блытаніны з залежнасцямі з'явіліся ў раздзеле xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesі некалькі іншых — усе з завышанымі нумарамі версій у дыяпазоне 999.x. Новы кластар агульных назваў утыліт з выпадковымі шаснаццатковымі суфіксамі (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) з'явіўся 18–19 чэрвеня, што адпавядае сцэнарнай масавай рэгістрацыі. Тыдзень завяршыўся з trimprompt, trimprompt-hub, claude-cup, і web3-crypto-address-utils пацверджана 19 чэрвеня. У PyPI, neuralbridge-sdk (пяць версій для версій 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1, і aiaddin-agent былі пацверджаны на працягу тыдня.
Гэта не былі асобныя анамаліі. На гэтым тыдні кінулася ў вочы канцэнтрацыя нападаў на ўнутраныя прасторы імёнаў пакетаў з мэтай зблытання з залежнасцямі, працяглыя шматдзённыя публікацыйныя кампаніі, накіраваныя на перавышэнне выдаленняў, працяглыя напады на інструменты Web3 і DeFi (гэтая тэндэнцыя значна паскорылася ў 2026 годзе) і ўсё больш шырокае выкарыстанне агульных, шумападобных імёнаў пакетаў, распрацаваных для таго, каб пазбегнуць выяўлення шляхам злівання са звычайнымі дрэвамі залежнасцей.
Гэты штотыднёвы агляд з'яўляецца часткай нашага пастаяннага агляду шкоднаснага кода, дзе мы правяраем новыя пагрозы і даем практычную інфармацыю, каб дапамагчы камандам DevSecOps абараніць сваіх pipelineда таго, як адбудзецца пашкоджанне. Давайце разгледзім, што мы выявілі на гэтым тыдні і чаму гэта важна.
Не дазваляйце скаардынаваным кампаніям дасягнуць вашага Pipelines
У гэтым тыдні агляд быў прысвечаны не адной пагрозе, а маштабу. Больш за 200 пацверджаных пакетаў, пастаяннае затапленне версій на працягу некалькіх дзён і масавыя рэгістрацыйныя кампаніі па сцэнарыях, якія працуюць хутчэй, чым можна адсачыць пры ручным праверцы. Зламыснікі не чакаюць, пакуль вы іх дагоніце.
Ранняе выяўленне шкоднасных праграм Xygeni бесперапынна кантралюе npm, PyPI і іншыя рэестры, пазначаючы пагрозы ў момант публікацыі, а не пасля таго, як яны трапяць у зборку. Калі кампанія публікуе 21 версію аднаго і таго ж шкоднаснага пакета на працягу чатырох дзён, штотыднёвае сканаванне нічога своечасова не выяўляе.
Ксігені Open Source Security Рашэнне дае вашым камандам DevSecOps бачнасць у рэжыме рэальнага часу і расстаноўку прыярытэтаў, неабходныя для таго, каб апярэджваць менавіта такі каардынаваны ціск, таму вашы pipelineзаставайцеся чыстымі, не запавольваючы працу вашых каманд.




