Joka viikkohaittaohjelmien tunnistusjärjestelmämme skannaavat tuhansia uusia ja päivitettyjä paketteja julkisista rekistereistä, kuten npm:stä ja PyPI:stä. Tämä viikko ei ollut poikkeus.
Vahvistimme yli 200 haitallista pakettia 12.–19. kesäkuuta 2026 välisenä aikana, pääasiassa npm-paketissa, ja PyPI:ssä havaittiin myös muita tapauksia. Useat niistä esiintyivät koordinoiduissa klustereissa, toistuvina haitallisina julkaisuina samoilla nimillä tai läheisesti toisiinsa liittyvissä pakettiperheissä.
Tämän viikon merkillepantava tapaus oli sensivity, joka tulvi npm:ään yli 70 versioidulla julkaisulla 2.5.x-luokassa, vahvistettu useiden päivien aikana. Muita merkittäviä klustereita olivat aalto @solana-labs Solanan ekosysteemiin kohdistuvat typoskvaatit (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — kahdessa erillisessä julkaisukampanjassa 7. kesäkuuta ja 8. kesäkuuta), @nstrlabs perhe (sdk, ixel, utils, shared-components, api-client, auth — riippuvuussekaannuksen aiheuttava hyökkäys sisäistä pakettien nimiavaruutta vastaan), @klapp-login-platform ryhmä (native-sdk, oidc, routes — todennusalustan henkilöllisyyden käyttäminen) internallib_v557 ja internallib_v984 (useita versioita hämärretyistä sisäisistä kirjastohuijareista), pocteszep (6 versiota julkaistu 11. kesäkuuta) ja joukko krypto- ja Web3-apuohjelmia, mukaan lukien blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87ja farming-tools-12. morningstar-design-system paketti ilmestyi kolmena versiona 10. kesäkuuta, ja se jäljitteli tunnettua taloussuunnittelujärjestelmää.
Kesäkuun 13. päivästä eteenpäin tahti kiihtyi. houzidawang806 pelkästään klusteri julkaisi yli 25 versiota yhden päivän aikana, ja sisarukset liittyivät niihin. houzidawang807 ja houzidawang808. metrics-pipeline-d8k2 paketti julkaistiin jatkuvasti uudelleen 21 versiossa 15. kesäkuuta ja 18. kesäkuuta välisenä aikana – jatkuva väistökampanja, jonka tarkoituksena oli pysyä estolistan edellä. friendly-greeter-demo paketti ilmestyi uudelleen eri versioissa koko viikon ajan. Uusia riippuvuuksien sekaannuksia aiheuttavia yrityksiä ilmestyi otsikolla xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, ja useita muita – joilla kaikilla on paisutetut versionumerot 999.x-alueella. Uusi joukko yleisiä apuohjelmien nimiä satunnaisilla heksadesimaaliliitteillä (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) ilmestyi 18.–19. kesäkuuta, mikä on yhdenmukaista skriptatun joukkorekisteröinnin kanssa. Viikko päättyi trimprompt, trimprompt-hub, claude-cupja web3-crypto-address-utils vahvistettu 19. kesäkuuta. PyPI:ssä neuralbridge-sdk (viisi versiota eri versioissa 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1ja aiaddin-agent vahvistettiin viikon aikana.
Nämä eivät olleet yksittäisiä poikkeamia. Tällä viikolla silmiinpistävää oli riippuvuussekaannuksia aiheuttavien hyökkäysten keskittyminen sisäisiin pakettien nimiavaruuksiin, jatkuvat, usean päivän mittaiset julkaisukampanjat, joiden tarkoituksena oli kestää poistoja pidempään, Web3- ja DeFi-työkaluihin kohdistuvien hyökkäysten jatkuva kohdentaminen (tämä trendi kiihtyi merkittävästi vuonna 2026) sekä yleisten, kohinaa muistuttavien pakettien nimien kasvava käyttö, jotka on suunniteltu välttämään havaitsemista sulautumalla normaaleihin riippuvuuspuihin.
Tämä viikoittainen tilannekuva on osa jatkuvaa haittaohjelmakoodin yhteenvetoa, jossa validoimme uusia uhkia ja tarjoamme toimintakelpoista tietoa auttaaksemme DevSecOps-tiimejä suojaamaan omia uhkiaan. pipelineennen kuin vahinko tapahtuu. Puretaanpa, mitä havaitsimme tällä viikolla ja miksi se on tärkeää.
Älä anna koordinoitujen kampanjoiden tavoittaa sinua Pipelines
Tämän viikon kooste ei käsitellyt yhtä uhkaa, vaan sen mittakaavaa. Yli 200 vahvistettua pakettia, jatkuvaa versioiden tulvaa useiden päivien ajan ja käsikirjoitettuja joukkorekisteröintikampanjoita, jotka toimivat nopeammin kuin manuaaliset tarkistukset pystyvät seuraamaan. Hyökkääjät eivät odota, että sinä kuroit umpeen.
Xygeni-haittaohjelmien varhainen havaitseminen valvoo npm:ää, PyPI:tä ja muita rekistereitä jatkuvasti ja merkitsee uhat julkaisuhetkellä, ei vasta niiden päätyttyä koontiversioon. Kun kampanja julkaisee 21 versiota samasta haitallisesta paketista neljän päivän aikana, viikoittainen tarkistus ei löydä mitään ajoissa.
Xygenin Open Source Security ratkaisu antaa DevSecOps-tiimeillesi reaaliaikaisen näkyvyyden ja priorisoinnin, jota he tarvitsevat pysyäkseen edellä juuri tällaista koordinoitua painetta, joten sinun pipelinepysyä puhtaana hidastamatta tiimejäsi.




