Matag semana, ang among mga sistema sa pag-detect sa malware nag-scan sa liboan ka bag-o ug gi-update nga mga pakete sa mga pampublikong rehistro sama sa npm ug PyPI. Kini nga semana dili eksepsiyon.
Among gikumpirma ang kapin sa 200 ka malisyosong mga pakete tali sa Hunyo 12 ug Hunyo 19, 2026, kasagaran sa tibuok npm, nga adunay dugang nga mga kaso sa PyPI. Daghan ang nagpakita sa mga koordinadong cluster, balik-balik nga malisyosong mga pagpagawas nga gipatik ubos sa parehas nga mga ngalan o sa mga suod nga may kalabutan nga mga pamilya sa pakete.
Ang labing talagsaong kaso karong semanaha mao ang sensivity, nga nagbaha sa npm og sobra sa 70 ka bersyon nga gipagawas sa tibuok 2.5.x range, nga gikumpirma sulod sa daghang adlaw. Ang uban pang talagsaong mga cluster naglakip sa usa ka balud sa @solana-labs mga typosquat nga nagtumong sa ekosistema sa Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — sa duha ka managlahing kampanya sa pagmantala niadtong Hunyo 7 ug Hunyo 8), ang @nstrlabs pamilya (sdk, ixel, utils, shared-components, api-client, auth — pag-atake sa kalibog sa dependency batok sa usa ka internal nga namespace sa pakete), ang @klapp-login-platform grupo (native-sdk, oidc, routes — pagpakaaron-ingnon nga usa ka plataporma sa pag-authenticate), internallib_v557 ug internallib_v984 (daghang bersyon sa gitago nga mga impostor sa internal nga librarya), pocteszep (6 ka bersyon nga gipatik niadtong Hunyo 11), ug usa ka pundok sa mga crypto ug Web3 utilities lakip na ang blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, Ug farming-tools-12. ang morningstar-design-system Ang pakete migawas sa tulo ka bersyon niadtong Hunyo 10, nga nagsundog sa usa ka ilado nga sistema sa disenyo sa pinansyal.
Sukad Hunyo 13 padayon, mipaspas ang dagan. houzidawang806 Ang cluster pa lang nakaabot na og kapin sa 25 ka bersyon nga napatik sa usa lang ka adlaw, giapilan sa mga igsoon houzidawang807 ug houzidawang808. ang metrics-pipeline-d8k2 Ang pakete padayon nga gimantala pag-usab sa 21 ka bersyon tali sa Hunyo 15 ug Hunyo 18 — usa ka padayon nga kampanya sa paglikay nga gidisenyo aron magpabilin nga una sa mga blocklist. Ang friendly-greeter-demo Ang pakete padayon nga nagpakita sa mga bersyon sa tibuok semana. Bag-ong mga pagsulay sa pagkalibog sa dependency ang mitumaw ubos sa xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, ug uban pa — tanan nagdala og gipaburot nga mga numero sa bersyon sa 999.x range. Usa ka bag-ong pungpong sa mga generic nga ngalan sa utility nga adunay random nga hex suffixes (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) nigawas niadtong Hunyo 18–19, subay sa scripted bulk registration. Ang semana natapos sa trimprompt, trimprompt-hub, claude-cup, Ug web3-crypto-address-utils gikumpirma niadtong Hunyo 19. Sa PyPI, neuralbridge-sdk (lima ka bersyon sa 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1, Ug aiaddin-agent gikumpirma sa tibuok semana.
Dili kini mga isolated nga anomaliya. Ang mipatigbabaw karong semanaha mao ang konsentrasyon sa mga dependency confusion attack batok sa internal package namespaces, ang padayon nga multi-day publishing campaigns nga gidisenyo aron molahutay sa mga takedown, ang padayon nga pag-target sa Web3 ug DeFi tooling (usa ka pattern nga mikusog pag-ayo sa 2026), ug ang nagkadaghang paggamit sa generic, noise-like package names nga gihimo aron malikayan ang detection pinaagi sa pagsagol sa normal dependency trees.
Kining sinemanang snapshot kabahin sa among nagpadayon nga Malicious Code Digest, diin among gi-validate ang mga bag-ong hulga ug naghatag og aksyonable nga intelligence aron matabangan ang mga DevSecOps team nga mapanalipdan ang ilang pipelinesa dili pa mahitabo ang kadaot. Atong hisgutan kung unsa ang atong nakit-an karong semanaha ug nganong kini importante.
Ayaw Tugoti nga Makaabot sa Imong mga Koordinado nga Kampanya Pipelines
Ang digest karong semanaha dili lang bahin sa usa ka hulga; kini bahin sa gilapdon. Kapin sa 200 ka kumpirmadong pakete, padayon nga pagbaha sa bersyon sulod sa daghang adlaw, ug mga scripted bulk registration campaign nga mas paspas nga modagan kaysa masubay sa manual reviews. Ang mga tig-atake wala maghulat nga maapsan ka.
Sayo nga Pag-ila sa Malware sa Xygeni Padayon nga gimonitor ang npm, PyPI, ug uban pang mga registry, nga nag-flag sa mga hulga sa oras sa pagmantala, dili human kini moabut sa usa ka build. Kung ang usa ka kampanya magmantala og 21 ka bersyon sa parehas nga malisyosong pakete sulod sa upat ka adlaw, ang usa ka semana nga scan dili makadakop bisan unsa sa oras.
Xygeni's Open Source Security Ang solusyon naghatag sa imong mga DevSecOps team sa real-time nga visibility ug prioritization nga ilang gikinahanglan aron magpabilin nga una sa eksakto niining matang sa coordinated pressure, aron ang imong pipelinemagpabiling limpyo nga dili makapahinay sa imong mga team.




