Toutes les semainesNos systèmes de détection de logiciels malveillants analysent des milliers de paquets nouveaux et mis à jour sur des registres publics comme npm et PyPI. Cette semaine n'a pas fait exception.
Nous avons confirmé la présence de plus de 200 paquets malveillants entre le 12 et le 19 juin 2026, principalement sur npm, avec quelques cas supplémentaires sur PyPI. Plusieurs sont apparus en groupes coordonnés, des versions malveillantes répétées étant publiées sous les mêmes noms ou au sein de familles de paquets étroitement liées.
L'affaire qui a fait le plus parler d'elle cette semaine était sensivity, qui a inondé npm de plus de 70 versions différentes de la gamme 2.5.x, confirmées sur plusieurs jours. Parmi les autres clusters notables, on peut citer une vague de @solana-labs typosquats ciblant l'écosystème Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — à travers deux campagnes de publication distinctes les 7 et 8 juin), @nstrlabs famille (sdk, ixel, utils, shared-components, api-client, auth — attaque par confusion de dépendances contre un espace de noms de paquet interne), le @klapp-login-platform groupe (native-sdk, oidc, routes — usurpant l'identité d'une plateforme d'authentification), internallib_v557 et internallib_v984 (plusieurs versions d'imposteurs de bibliothèque interne obscurcis), pocteszep (6 versions publiées le 11 juin), et un ensemble d'utilitaires de cryptographie et Web3, notamment blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87 et farming-tools-12L’ morningstar-design-system Ce logiciel est apparu en trois versions le 10 juin, se faisant passer pour un système de conception financière bien connu.
À partir du 13 juin, le rythme s'est accéléré. houzidawang806 Ce cluster a à lui seul représenté plus de 25 versions publiées en une seule journée, rejointes par ses frères et sœurs. houzidawang807 et houzidawang808L’ metrics-pipeline-d8k2 Le paquet a été republié sans interruption à travers 21 versions entre le 15 et le 18 juin – une campagne de contournement soutenue visant à devancer les listes de blocage. friendly-greeter-demo Le problème du paquet a persisté dans différentes versions tout au long de la semaine. De nouvelles tentatives de confusion de dépendances ont fait surface sous xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, et plusieurs autres — tous portant des numéros de version gonflés dans la gamme 999.x. Un nouveau groupe de noms d'utilitaires génériques avec des suffixes hexadécimaux aléatoires (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) est apparu les 18 et 19 juin, conformément à l'enregistrement en masse automatisé. La semaine s'est terminée avec trimprompt, trimprompt-hub, claude-cup et web3-crypto-address-utils confirmé le 19 juin. Sur PyPI, neuralbridge-sdk (cinq versions réparties entre 4.5.x et 5.1.x), deepstrain, teambot-ai, hello-test-s1 et aiaddin-agent ont été confirmées tout au long de la semaine.
Il ne s'agissait pas d'anomalies isolées. Ce qui a marqué cette semaine, c'est la concentration des attaques par confusion de dépendances contre les espaces de noms de paquets internes, les campagnes de publication soutenues sur plusieurs jours conçues pour survivre aux suppressions, le ciblage continu des outils Web3 et DeFi (une tendance qui s'est considérablement accélérée en 2026), et une utilisation croissante de noms de paquets génériques et peu clairs, conçus pour échapper à la détection en se fondant dans les arbres de dépendances normaux.
Ce résumé hebdomadaire fait partie de notre bulletin continu sur les codes malveillants, dans lequel nous validons les nouvelles menaces et fournissons des renseignements exploitables pour aider les équipes DevSecOps à protéger leurs systèmes. pipelineAvant que des dégâts ne surviennent. Analysons nos découvertes de cette semaine et leur importance.
Ne laissez pas des campagnes coordonnées vous atteindre Pipelines
Le bilan de cette semaine ne portait pas sur une menace isolée, mais sur son ampleur. Plus de 200 paquets confirmés, une diffusion massive et continue de versions malveillantes pendant plusieurs jours, et des campagnes d'enregistrement en masse automatisées exécutées à une vitesse fulgurante, impossible à suivre manuellement. Les attaquants n'attendent pas que vous réagissiez.
Détection précoce des logiciels malveillants Xygeni Ce système surveille en continu npm, PyPI et d'autres registres, signalant les menaces dès leur publication, et non après leur intégration dans une version compilée. Lorsqu'une campagne publie 21 versions du même paquet malveillant en quatre jours, une analyse hebdomadaire ne permet pas de les détecter à temps.
Xygéni Open Source Security Cette solution offre à vos équipes DevSecOps la visibilité en temps réel et la priorisation dont elles ont besoin pour garder une longueur d'avance sur ce type de pression coordonnée. pipelineRestez propres sans ralentir vos équipes.




