Всяка седмица, нашите системи за откриване на зловреден софтуер сканират хиляди нови и актуализирани пакети в публични регистри като npm и PyPI. Тази седмица не беше изключение.
Потвърдихме над 200 злонамерени пакета между 12 и 19 юни 2026 г., предимно в npm, с допълнителни случаи в PyPI. Няколко се появиха в координирани клъстери, повтарящи се злонамерени издания, публикувани под едни и същи имена или в тясно свързани семейства пакети.
Най-забележителният случай тази седмица беше sensivity, което заля npm с над 70 версии в диапазона 2.5.x, потвърдено в продължение на няколко дни. Други забележителни клъстери включваха вълна от @solana-labs типосквоти, насочени към екосистемата на Солана (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — в рамките на две отделни издателски кампании на 7 юни и 8 юни), @nstrlabs семейство (sdk, ixel, utils, shared-components, api-client, auth — атака за объркване на зависимости срещу вътрешно пространство от имена на пакети), @klapp-login-platform група (native-sdk, oidc, routes — представяне за платформа за удостоверяване), internallib_v557 намлява internallib_v984 (няколко версии на обфускирани вътрешни библиотечни измамници), pocteszep (6 версии, публикувани на 11 юни) и клъстер от крипто и Web3 инструменти, включително blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, и farming-tools-12, Най- morningstar-design-system Пакетът се появи в три версии на 10 юни, представяйки се за добре позната система за финансов дизайн.
От 13 юни нататък темпото се ускори. houzidawang806 Само клъстерът е публикувал над 25 версии за един ден, към които са се присъединили и братя и сестри. houzidawang807 намлява houzidawang808, Най- metrics-pipeline-d8k2 Пакетът беше препубликуван непрекъснато в 21 версии между 15 юни и 18 юни — продължителна кампания за избягване, предназначена да изпревари потребителите в списъците с блокирани. friendly-greeter-demo Пакетът продължаваше да се появява отново във всички версии през цялата седмица. Нови опити за объркване със зависимости се появиха под xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesи няколко други — всички с завишени номера на версиите в диапазона 999.x. Нов клъстер от генерични имена на помощни програми със случайни шестнадесетични суфикси (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) се появи на 18–19 юни, в съответствие със скриптирана групова регистрация. Седмицата приключи с trimprompt, trimprompt-hub, claude-cup, и web3-crypto-address-utils потвърдено на 19 юни. В PyPI, neuralbridge-sdk (пет версии между 4.5.x и 5.1.x), deepstrain, teambot-ai, hello-test-s1, и aiaddin-agent бяха потвърдени през цялата седмица.
Това не бяха изолирани аномалии. Това, което се открои тази седмица, беше концентрацията на атаки за объркване на зависимости срещу вътрешни пространства от имена на пакети, продължителните многодневни кампании за публикуване, предназначени да надживеят премахването на софтуера, продължаващото насочване към Web3 и DeFi инструменти (модел, който се ускори значително през 2026 г.) и нарастващото използване на генерични, шумоподобни имена на пакети, проектирани да избегнат откриването чрез смесване с нормални дървета на зависимости.
Тази седмична снимка е част от нашия текущ преглед на зловреден код, където валидираме нови заплахи и предоставяме практическа информация, за да помогнем на екипите на DevSecOps да защитят своите pipelineпреди да възникнат щети. Нека разгледаме какво открихме тази седмица и защо е важно.
Не позволявайте на координираните кампании да достигнат до вас Pipelines
Дайджестът тази седмица не беше за една-единствена заплаха, а за мащаба. Над 200 потвърдени пакета, продължително наводняване с версии в продължение на няколко дни и скриптирани кампании за масова регистрация, изпълняващи се по-бързо, отколкото ръчните проверки могат да проследят. Атакуващите не чакат да ги настигнете.
Ранно откриване на зловреден софтуер от Xygeni Следи npm, PyPI и други регистри непрекъснато, като сигнализира за заплахи в момента на публикуване, а не след като са попаднали в сборка. Когато една кампания публикува 21 версии на един и същ зловреден пакет в рамките на четири дни, седмичното сканиране не забелязва нищо навреме.
Ксигени Open Source Security Решението дава на вашите DevSecOps екипи видимостта и приоритизирането в реално време, от които се нуждаят, за да изпреварят точно този вид координиран натиск, така че вашите pipelineподдържайте чистота, без да забавяте екипите си.




