Gairebé cada setmana, els nostres sistemes de detecció de programari maliciós escanegen milers de paquets nous i actualitzats en registres públics com ara npm i PyPI. Aquesta setmana no ha estat una excepció.
Vam confirmar més de 130 paquets maliciosos entre el 7 i el 12 de juny de 2026, predominantment a npm, amb casos addicionals a PyPI. Diversos van aparèixer en clústers coordinats, versions malicioses repetides publicades amb els mateixos noms o en famílies de paquets estretament relacionades.
El cas més destacat d'aquesta setmana ha estat sensivity, que va inundar npm amb més de 40 llançaments versionats en tot el rang 2.5.x, confirmats al llarg de diversos dies. Altres clústers destacats van incloure una onada de @solana-labs typosquats dirigits a l'ecosistema Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — en dues campanyes de publicació separades el 7 i el 8 de juny), el @nstrlabs família (sdk, ixel, utils, shared-components, api-client, auth — atac de confusió de dependències contra un espai de noms de paquet intern), el/la/els/les @klapp-login-platform grup (native-sdk, oidc, routes — suplantació d'una plataforma d'autenticació), internallib_v557 i internallib_v984 (múltiples versions d'impostors de biblioteques internes ofuscats), pocteszep (6 versions publicades l'11 de juny) i un clúster d'utilitats criptogràfiques i Web3 que inclouen blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87i farming-tools-12. La morningstar-design-system El paquet va aparèixer en tres versions el 10 de juny, imitant un conegut sistema de disseny financer. A PyPI, helixagentai, telegramlitei cdjeez es van confirmar al llarg de la setmana.
No eren anomalies aïllades. El que va destacar aquesta setmana va ser la concentració d'atacs de confusió de dependències contra espais de noms de paquets interns, la publicació sostinguda durant diversos dies de la sensivity clúster, i la focalització continuada en les eines Web3 i Solana, un patró que s'ha accelerat significativament el 2026.
Aquesta instantània setmanal forma part del nostre resum de codi maliciós, on validem noves amenaces i proporcionem intel·ligència accionable per ajudar els equips de DevSecOps a protegir els seus pipelines abans que es produeixi el dany.
Analitzem què hem trobat aquesta setmana i per què és important.
No deixeu que els paquets maliciosos arribin a producció
Els paquets dels quals depenen els vostres equips s'utilitzen cada cop més com a punt d'entrada. Detecció precoç de programari maliciós de Xygeni monitoritza els registres en temps real, de manera que les amenaces com les del resum d'aquesta setmana es bloquegen abans que arribin a les vostres compilacions.
Les troballes d'aquesta setmana són un recordatori que les tàctiques s'estan tornant més deliberades. La inundació de versions, la suplantació d'espai de noms i les campanyes coordinades de diversos dies ja no són casos límit, sinó que... standard manual d'atacants. Els escanejos puntuals i les auditories manuals no poden seguir el ritme de les campanyes que publiquen desenes de versions al llarg de diversos dies i registres simultàniament.
Xygeni's Open Source Security La solució ofereix als vostres equips de DevSecOps una visibilitat contínua a través de npm, PyPI i més enllà, detectant paquets nocius en el moment de la publicació, prioritzant el que representa un risc real d'explotació i escurçant el camí des de la detecció fins a la remediació. Així, els vostres equips poden lliurar ràpidament sense comprometre la seguretat.




