Κάθε εβδομάδα, τα συστήματα ανίχνευσης κακόβουλου λογισμικού μας σαρώνουν χιλιάδες νέα και ενημερωμένα πακέτα σε δημόσια μητρώα όπως το npm και το PyPI. Αυτή η εβδομάδα δεν αποτέλεσε εξαίρεση.
Επιβεβαιώσαμε πάνω από 200 κακόβουλα πακέτα μεταξύ 12 Ιουνίου και 19 Ιουνίου 2026, κυρίως σε npm, με επιπλέον κρούσματα στο PyPI. Αρκετά εμφανίστηκαν σε συντονισμένες συστάδες, επαναλαμβανόμενες κακόβουλες κυκλοφορίες που δημοσιεύθηκαν με τα ίδια ονόματα ή σε στενά συνδεδεμένες οικογένειες πακέτων.
Η πιο εντυπωσιακή υπόθεση αυτής της εβδομάδας ήταν sensivity, το οποίο κατέκλυσε το npm με πάνω από 70 εκδόσεις σε όλη την περιοχή 2.5.x, επιβεβαιώθηκε σε διάστημα πολλαπλών ημερών. Άλλες αξιοσημείωτες συστάδες περιελάμβαναν ένα κύμα @solana-labs typosquats που στοχεύουν το οικοσύστημα Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — σε δύο ξεχωριστές εκδοτικές καμπάνιες στις 7 και 8 Ιουνίου), το @nstrlabs οικογένεια (sdk, ixel, utils, shared-components, api-client, auth — επίθεση σύγχυσης εξαρτήσεων εναντίον ενός εσωτερικού χώρου ονομάτων πακέτων), η @klapp-login-platform ομάδα (native-sdk, oidc, routes — πλαστοπροσωπία πλατφόρμας ελέγχου ταυτότητας), internallib_v557 και internallib_v984 (πολλαπλές εκδόσεις ασαφών εσωτερικών απατεώνων βιβλιοθήκης), pocteszep (6 εκδόσεις δημοσιεύθηκαν στις 11 Ιουνίου) και ένα σύμπλεγμα βοηθητικών προγραμμάτων κρυπτογράφησης και Web3, συμπεριλαμβανομένων blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87και farming-tools-12. ο morningstar-design-system Το πακέτο εμφανίστηκε σε τρεις εκδόσεις στις 10 Ιουνίου, μιμούμενο ένα γνωστό σύστημα οικονομικού σχεδιασμού.
Από τις 13 Ιουνίου και μετά, ο ρυθμός επιταχύνθηκε. houzidawang806 μόνο η ομάδα αντιπροσώπευε πάνω από 25 εκδόσεις που δημοσιεύθηκαν σε μία μόνο ημέρα, μαζί με αδέλφια houzidawang807 και houzidawang808. ο metrics-pipeline-d8k2 Το πακέτο αναδημοσιεύτηκε συνεχώς σε 21 εκδόσεις μεταξύ 15 Ιουνίου και 18 Ιουνίου — μια διαρκής εκστρατεία αποφυγής που είχε σχεδιαστεί για να παραμένει ένα βήμα μπροστά από τις λίστες αποκλεισμού. friendly-greeter-demo το πακέτο επανεμφανιζόταν σε όλες τις εκδόσεις καθ' όλη τη διάρκεια της εβδομάδας. Νέες προσπάθειες σύγχυσης εξαρτήσεων εμφανίστηκαν στο xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesκαι αρκετά άλλα — όλα φέρουν διογκωμένους αριθμούς έκδοσης στην περιοχή 999.x. Ένα νέο σύμπλεγμα γενικών ονομάτων βοηθητικών προγραμμάτων με τυχαία δεκαεξαδικά επιθήματα (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) εμφανίστηκε στις 18-19 Ιουνίου, σύμφωνα με την μαζική εγγραφή σεναρίου. Η εβδομάδα έκλεισε με trimprompt, trimprompt-hub, claude-cupκαι web3-crypto-address-utils επιβεβαιώθηκε στις 19 Ιουνίου. Στο PyPI, neuralbridge-sdk (πέντε εκδόσεις σε 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1και aiaddin-agent επιβεβαιώθηκαν κατά τη διάρκεια της εβδομάδας.
Αυτές δεν ήταν μεμονωμένες ανωμαλίες. Αυτό που ξεχώρισε αυτή την εβδομάδα ήταν η συγκέντρωση επιθέσεων σύγχυσης εξαρτήσεων εναντίον εσωτερικών χώρων ονομάτων πακέτων, οι παρατεταμένες πολυήμερες καμπάνιες δημοσίευσης που έχουν σχεδιαστεί για να διαρκέσουν περισσότερο από τις καταργήσεις, η συνεχιζόμενη στόχευση εργαλείων Web3 και DeFi (ένα μοτίβο που έχει επιταχυνθεί σημαντικά το 2026) και η αυξανόμενη χρήση γενικών, ονομάτων πακέτων που μοιάζουν με θόρυβο, σχεδιασμένων για να αποφεύγουν την ανίχνευση, ενσωματώνοντάς τα σε κανονικά δέντρα εξαρτήσεων.
Αυτό το εβδομαδιαίο στιγμιότυπο αποτελεί μέρος της συνεχιζόμενης σύνοψης κακόβουλου κώδικα, όπου επικυρώνουμε νέες απειλές και παρέχουμε αξιοποιήσιμες πληροφορίες για να βοηθήσουμε τις ομάδες DevSecOps να προστατεύσουν τις pipelineπριν προκληθεί η ζημιά. Ας αναλύσουμε τι ανακαλύψαμε αυτή την εβδομάδα και γιατί είναι σημαντικό.
Μην αφήσετε τις συντονισμένες καμπάνιες να σας φτάσουν Pipelines
Η σύνοψη αυτής της εβδομάδας δεν αφορούσε μία μόνο απειλή. Αφορούσε την κλίμακα. Πάνω από 200 επιβεβαιωμένα πακέτα, συνεχής υπερχείλιση εκδόσεων σε πολλές ημέρες και προγραμματισμένες καμπάνιες μαζικής εγγραφής που εκτελούνται ταχύτερα από ό,τι μπορούν να παρακολουθήσουν οι χειροκίνητες αξιολογήσεις. Οι εισβολείς δεν περιμένουν να σας προλάβουν.
Πρώιμη ανίχνευση κακόβουλου λογισμικού Xygeni παρακολουθεί συνεχώς τα npm, PyPI και άλλα μητρώα, επισημαίνοντας τις απειλές τη στιγμή της δημοσίευσής τους και όχι αφού εμφανιστούν σε μια έκδοση. Όταν μια καμπάνια δημοσιεύει 21 εκδόσεις του ίδιου κακόβουλου πακέτου σε διάστημα τεσσάρων ημερών, μια εβδομαδιαία σάρωση δεν εντοπίζει τίποτα εγκαίρως.
Ξυγένης Open Source Security Η λύση παρέχει στις ομάδες DevSecOps σας την ορατότητα και την ιεράρχηση σε πραγματικό χρόνο που χρειάζονται για να παραμείνουν μπροστά από αυτό ακριβώς το είδος συντονισμένης πίεσης, έτσι ώστε η pipelineΠαραμείνετε καθαροί χωρίς να επιβραδύνετε τις ομάδες σας.




