Hver uge, vores malware-detektionssystemer scanner tusindvis af nye og opdaterede pakker på tværs af offentlige registre som npm og PyPI. Denne uge var ingen undtagelse.
Vi bekræftede over 200 ondsindede pakker mellem 12. og 19. juni 2026, primært på tværs af npm, med yderligere tilfælde i PyPI. Flere optrådte i koordinerede klynger, gentagne ondsindede udgivelser udgivet under de samme navne eller på tværs af nært beslægtede pakkefamilier.
Den iøjnefaldende sag i denne uge var sensivity, som oversvømmede npm med over 70 versionerede udgivelser på tværs af 2.5.x-serien, bekræftet over flere dage. Andre bemærkelsesværdige klynger omfattede en bølge af @solana-labs typosquats rettet mod Solana-økosystemet (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — på tværs af to separate udgivelseskampagner den 7. juni og 8. juni), den @nstrlabs familie (sdk, ixel, utils, shared-components, api-client, auth — afhængighedsforvirringsangreb mod et internt pakkenavnerum), @klapp-login-platform gruppe (native-sdk, oidc, routes — udgive sig for at være en autentificeringsplatform), internallib_v557 og internallib_v984 (flere versioner af forvirrede interne biblioteksbedragere), pocteszep (6 versioner udgivet den 11. juni) og en klynge af krypto- og Web3-værktøjer, herunder blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87og farming-tools-12. Det morningstar-design-system Pakken udkom i tre versioner den 10. juni og efterlignede et velkendt finansielt designsystem.
Fra den 13. juni og fremefter accelererede tempoet. houzidawang806 klyngen alene tegnede sig for over 25 versioner udgivet på en enkelt dag, sammen med søskende houzidawang807 og houzidawang808. Det metrics-pipeline-d8k2 Pakken blev genudgivet løbende i 21 versioner mellem 15. juni og 18. juni – en vedvarende undvigelseskampagne designet til at holde sig foran blokeringslisterne. friendly-greeter-demo Pakken blev ved med at dukke op igen på tværs af versioner i løbet af ugen. Nye forsøg på afhængighedsforvirring dukkede op under xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesog adskillige andre — alle med oppustede versionsnumre i 999.x-området. En frisk klynge af generiske værktøjsnavne med tilfældige hexadecimale suffikser (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) udkom den 18.-19. juni, i overensstemmelse med scriptet masseregistrering. Ugen sluttede med trimprompt, trimprompt-hub, claude-cupog web3-crypto-address-utils bekræftet den 19. juni. I PyPI, neuralbridge-sdk (fem versioner på tværs af 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1og aiaddin-agent blev bekræftet i løbet af ugen.
Disse var ikke isolerede anomalier. Det, der skilte sig ud i denne uge, var koncentrationen af afhængighedsforvirringsangreb mod interne pakkenavnerum, de vedvarende flerdages publiceringskampagner, der er designet til at overleve takedowns, den fortsatte målretning af Web3- og DeFi-værktøjer (et mønster, der er accelereret betydeligt i 2026), og en stigende brug af generiske, støjlignende pakkenavne, der er konstrueret til at undgå detektion ved at blande sig med normale afhængighedstræer.
Dette ugentlige øjebliksbillede er en del af vores løbende Malicious Code Digest, hvor vi validerer nye trusler og leverer handlingsrettet information, der hjælper DevSecOps-teams med at beskytte deres pipelinefør skaden sker. Lad os gennemgå, hvad vi fandt ud af i denne uge, og hvorfor det er vigtigt.
Lad ikke koordinerede kampagner nå dig Pipelines
Denne uges resumé handlede ikke om en enkelt trussel; det handlede om skala. Over 200 bekræftede pakker, vedvarende versionsoversvømmelser over flere dage og scriptede masseregistreringskampagner, der kører hurtigere end manuelle gennemgange kan spore. Angriberne venter ikke på, at du indhenter det forsømte.
Xygeni Tidlig Malware-detektion overvåger npm, PyPI og andre registre kontinuerligt og markerer trusler i udgivelsesøjeblikket, ikke efter de er landet i en build. Når en kampagne udgiver 21 versioner af den samme skadelige pakke over fire dage, fanger en ugentlig scanning ingenting i tide.
Xygenis Open Source Security Løsningen giver dine DevSecOps-teams den realtidssynlighed og prioritering, de har brug for, for at være på forkant med netop denne form for koordineret pres, så dine pipelines forbliver rene uden at sinke dine hold.




