Cada setmana, els nostres sistemes de detecció de programari maliciós escanegen milers de paquets nous i actualitzats en registres públics com ara npm i PyPI. Aquesta setmana no ha estat una excepció.
Vam confirmar més de 200 paquets maliciosos entre el 12 i el 19 de juny de 2026, predominantment a npm, amb casos addicionals a PyPI. Diversos van aparèixer en clústers coordinats, versions malicioses repetides publicades amb els mateixos noms o en famílies de paquets estretament relacionades.
El cas més destacat d'aquesta setmana ha estat sensivity, que va inundar npm amb més de 70 llançaments versionats en tot el rang 2.5.x, confirmats al llarg de diversos dies. Altres clústers destacats van incloure una onada de @solana-labs typosquats dirigits a l'ecosistema Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — en dues campanyes de publicació separades el 7 i el 8 de juny), el @nstrlabs família (sdk, ixel, utils, shared-components, api-client, auth — atac de confusió de dependències contra un espai de noms de paquet intern), el @klapp-login-platform grup (native-sdk, oidc, routes — suplantació d'una plataforma d'autenticació), internallib_v557 i internallib_v984 (múltiples versions d'impostors de biblioteques internes ofuscats), pocteszep (6 versions publicades l'11 de juny) i un clúster d'utilitats criptogràfiques i Web3 que inclouen blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87i farming-tools-12. La morningstar-design-system El paquet va aparèixer en tres versions el 10 de juny, imitant un conegut sistema de disseny financer.
A partir del 13 de juny, el ritme es va accelerar. houzidawang806 el clúster per si sol va representar més de 25 versions publicades en un sol dia, juntament amb altres germans houzidawang807 i houzidawang808. La metrics-pipeline-d8k2 El paquet es va tornar a publicar contínuament en 21 versions entre el 15 i el 18 de juny, una campanya d'evasió sostinguda dissenyada per mantenir-se per davant de les llistes de bloqueig. El friendly-greeter-demo El paquet va anar reapareixent a través de les versions durant tota la setmana. Van sorgir nous intents de confusió de dependències a sota xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, i diversos altres, tots amb números de versió inflats en el rang 999.x. Un nou grup de noms d'utilitats genèriques amb sufixos hexadecimals aleatoris (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) va aparèixer els dies 18 i 19 de juny, d'acord amb el registre massiu amb guió. La setmana va tancar amb trimprompt, trimprompt-hub, claude-cupi web3-crypto-address-utils confirmat el 19 de juny. A PyPI, neuralbridge-sdk (cinc versions entre 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1i aiaddin-agent es van confirmar al llarg de la setmana.
No es tractava d'anomalies aïllades. El que va destacar aquesta setmana va ser la concentració d'atacs de confusió de dependències contra espais de noms de paquets interns, les campanyes de publicació sostingudes de diversos dies dissenyades per sobreviure a les retirades, la focalització contínua sobre les eines Web3 i DeFi (un patró que s'ha accelerat significativament el 2026) i un ús creixent de noms de paquets genèrics, semblants a soroll, dissenyats per evadir la detecció barrejant-se amb els arbres de dependències normals.
Aquesta instantània setmanal forma part del nostre resum de codi maliciós, on validem noves amenaces i proporcionem intel·ligència accionable per ajudar els equips de DevSecOps a protegir els seus pipelines abans que es produeixin danys. Analitzem què hem trobat aquesta setmana i per què és important.
No deixis que les campanyes coordinades arribin al teu abast Pipelines
El resum d'aquesta setmana no tractava d'una sola amenaça; sinó d'escalabilitat. Més de 200 paquets confirmats, inundació de versions sostinguda durant diversos dies i campanyes de registre massiu amb scripts que s'executen més ràpid del que les revisions manuals poden rastrejar. Els atacants no esperen que us poseu al dia.
Detecció precoç de programari maliciós de Xygeni monitoritza npm, PyPI i altres registres contínuament, marcant les amenaces en el moment de la publicació, no després que hagin arribat a una compilació. Quan una campanya publica 21 versions del mateix paquet maliciós durant quatre dies, una anàlisi setmanal no detecta res a temps.
Xygeni's Open Source Security La solució ofereix als vostres equips de DevSecOps la visibilitat i la priorització en temps real que necessiten per mantenir-se al dia d'aquest tipus de pressió coordinada, de manera que el vostre pipelinemantenir-se net sense alentir els equips.




