Fast jede WocheUnsere Malware-Erkennungssysteme scannen Tausende neuer und aktualisierter Pakete in öffentlichen Registries wie npm und PyPI. Auch diese Woche war keine Ausnahme.
Wir haben zwischen dem 7. und 12. Juni 2026 über 130 schädliche Pakete bestätigt, vorwiegend auf npm, mit zusätzlichen Fällen auf PyPI. Mehrere traten in koordinierten Clustern auf, also wiederholte Veröffentlichungen schädlicher Pakete unter demselben Namen oder innerhalb eng verwandter Paketfamilien.
Der herausragendste Fall dieser Woche war sensivity, was npm mit über 40 Versionsnummern im Bereich 2.5.x überschwemmte, was sich über mehrere Tage erstreckte. Weitere bemerkenswerte Cluster umfassten eine Welle von @solana-labs Typosquats, die auf das Solana-Ökosystem abzielen (web3.js, web3-js, etherjs, spl-toke, ancor, web3js – im Rahmen zweier separater Veröffentlichungskampagnen am 7. und 8. Juni), @nstrlabs Familie (sdk, ixel, utils, shared-components, api-client, auth – Abhängigkeitsverwirrungsangriff auf einen internen Paket-Namensraum), die @klapp-login-platform Gruppe (native-sdk, oidc, routes — Nachahmung einer Authentifizierungsplattform), internallib_v557 und internallib_v984 (mehrere Versionen verschleierter interner Bibliotheksimitate), pocteszep (6 Versionen, veröffentlicht am 11. Juni) und eine Gruppe von Krypto- und Web3-Dienstprogrammen, einschließlich blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87 und farming-tools-12. Der morningstar-design-system Das Paket erschien am 10. Juni in drei Versionen und gab sich als bekanntes Finanzdesignsystem aus. Auf PyPI, helixagentai, telegramlite und cdjeez wurden im Laufe der Woche bestätigt.
Dies waren keine vereinzelten Anomalien. Auffällig war in dieser Woche die Häufung von Angriffen auf interne Paket-Namensräume, die auf Abhängigkeitsverwirrung abzielten, sowie die mehrtägige, anhaltende Veröffentlichung von … sensivity Cluster und die fortgesetzte Ausrichtung auf Web3- und Solana-Tools, ein Muster, das sich im Jahr 2026 deutlich beschleunigt hat.
Diese wöchentliche Momentaufnahme ist Teil unseres fortlaufenden Malicious Code Digest, in dem wir neue Bedrohungen bestätigen und umsetzbare Informationen bereitstellen, um DevSecOps-Teams beim Schutz ihrer Infrastruktur zu unterstützen. pipelines bevor Schaden entsteht.
Lassen Sie uns zusammenfassen, was wir diese Woche herausgefunden haben und warum es wichtig ist.
Lassen Sie keine schädlichen Pakete in die Produktion gelangen.
Die Softwarepakete, auf die Ihre Teams angewiesen sind, werden zunehmend als Einstiegspunkt genutzt. Xygeni Früherkennung von Malware Überwacht die Registries in Echtzeit, sodass Bedrohungen wie die in dieser Woche enthaltenen blockiert werden, bevor sie Ihre Builds erreichen.
Die Ergebnisse dieser Woche erinnern uns daran, dass die Taktiken immer gezielter werden. Versionsflutung, Namensraum-Imitation und mehrtägige koordinierte Kampagnen sind keine Ausnahmefälle mehr, sondern die Regel. standard Vorgehensweise der Angreifer. Einmalige Scans und manuelle Prüfungen können mit Kampagnen, die Dutzende von Versionen über mehrere Tage hinweg gleichzeitig in verschiedenen Registries veröffentlichen, nicht mithalten.
Xygenis Open Source Security Die Lösung bietet Ihren DevSecOps-Teams kontinuierliche Transparenz über npm, PyPI und darüber hinaus. Schädliche Pakete werden bereits bei der Veröffentlichung erkannt, die Priorisierung von tatsächlich ausnutzbaren Risiken und die Beschleunigung der Behebung erfolgen schnellstmöglich. So können Ihre Teams schnell und ohne Kompromisse bei der Sicherheit veröffentlichen.




