Halos kada semana, ang among mga sistema sa pag-detect sa malware nag-scan sa liboan ka bag-o ug gi-update nga mga pakete sa mga pampublikong rehistro sama sa npm ug PyPI. Kini nga semana dili eksepsiyon.
Among gikumpirma ang kapin sa 130 ka malisyosong mga pakete tali sa Hunyo 7 ug Hunyo 12, 2026, kasagaran sa tibuok npm, nga adunay dugang nga mga kaso sa PyPI. Daghan ang nagpakita sa mga koordinadong cluster, balik-balik nga malisyosong mga pagpagawas nga gipatik ubos sa parehas nga mga ngalan o sa mga suod nga may kalabutan nga mga pamilya sa pakete.
Ang labing talagsaong kaso karong semanaha mao ang sensivity, nga nagbaha sa npm og sobra sa 40 ka bersyon nga gipagawas sa tibuok 2.5.x range, nga gikumpirma sulod sa daghang adlaw. Ang uban pang talagsaong mga cluster naglakip sa usa ka balud sa @solana-labs mga typosquat nga nagtumong sa Solana ecosystem (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — sa duha ka managlahing kampanya sa pagmantala niadtong Hunyo 7 ug Hunyo 8), ang @nstrlabs pamilya (sdk, ixel, utils, shared-components, api-client, auth — dependency confusion attack batok sa internal package namespace), ang @klapp-login-platform grupo (native-sdk, oidc, routes — nagpakaaron-ingnon nga usa ka plataporma sa pag-authenticate), internallib_v557 ug internallib_v984 (daghang bersyon sa gitago nga mga impostor sa internal nga librarya), pocteszep (6 ka bersyon nga gipatik niadtong Hunyo 11), ug usa ka pundok sa mga crypto ug Web3 utilities lakip na ang blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, Ug farming-tools-12. ang morningstar-design-system Ang pakete migawas sa tulo ka bersyon niadtong Hunyo 10, nga nagsundog sa usa ka ilado nga sistema sa disenyo sa pinansyal. Sa PyPI, helixagentai, telegramlite, Ug cdjeez gikumpirma sa tibuok semana.
Dili kini mga nahimulag nga anomaliya. Ang mitumaw karong semanaha mao ang konsentrasyon sa mga pag-atake sa kalibog sa dependency batok sa mga internal nga namespace sa pakete, ang padayon nga pagmantala sa daghang adlaw sa sensivity cluster, ug ang padayon nga pag-target sa Web3 ug Solana tooling, usa ka sumbanan nga mipaspas pag-ayo sa 2026.
Kining sinemanang snapshot kabahin sa among nagpadayon nga Malicious Code Digest, diin among gi-validate ang mga bag-ong hulga ug naghatag og aksyonable nga intelligence aron matabangan ang mga DevSecOps team nga mapanalipdan ang ilang pipelines sa dili pa mahitabo ang kadaot.
Atong hisgutan unsay atong nakit-an karong semanaha ug nganong importante kini.
Ayaw Pabay-i nga Makaabot sa Produksyon ang mga Malisyoso nga Pakete
Ang mga pakete nga gisaligan sa imong mga team nagkadaghan nga gigamit isip usa ka entry point. Sayo nga Pag-ila sa Malware sa Xygeni nagmonitor sa mga registry sa tinuod nga oras, aron ang mga hulga sama sa naa sa digest karong semanaha mababagan sa dili pa kini makaabot sa imong mga build.
Ang mga nadiskobrehan karong semanaha usa ka pahinumdom nga ang mga taktika nagkaanam ka tinuyo. Ang pagbaha sa bersyon, pag-impersonate sa namespace, ug mga kampanya nga gi-coordinate sa daghang adlaw dili na mga edge case, kini mga edge case na. standard playbook sa pag-atake. Ang mga one-time scan ug manual audit dili makaapas sa mga kampanya nga nagpatik ug dose-dosenang mga bersyon sa daghang mga adlaw ug mga registry sa parehas nga oras.
Xygeni's Open Source Security Ang solusyon naghatag sa imong mga DevSecOps team og padayon nga visibility sa tibuok npm, PyPI, ug uban pa, nga makamatikod sa makadaot nga mga pakete sa panahon sa pagmantala, pag-prioritize sa kung unsa ang tinuod nga mapahimuslan nga risgo, ug pagpamubo sa agianan gikan sa pag-detect ngadto sa remediation. Aron ang imong mga team makapadala dayon nga dili ikompromiso ang seguridad.




