毎週当社のマルウェア検出システムは、npmやPyPIなどの公開レジストリ全体で、数千もの新規および更新されたパッケージをスキャンしています。今週も例外ではありませんでした。
2026年6月12日から6月19日の間に、主にnpm上で200件以上の悪意のあるパッケージを確認しました。PyPIでも同様の事例がいくつかありました。これらの悪意のあるパッケージは、同じ名前で、あるいは密接に関連するパッケージファミリーで繰り返し公開されるなど、組織的に連携した形で出現していました。
今週の注目すべき事例は sensivityは、2.5.x 範囲で 70 を超えるバージョン付きリリースを npm に大量に送り込み、複数日にわたって確認された。その他の注目すべきクラスターには、 @solana-labs ソラナ生態系を標的としたタイポスクワット(web3.js, web3-js, etherjs, spl-toke, ancor, web3js — 6月7日と6月8日の2つの別々の出版キャンペーンを通じて、 @nstrlabs 家族 (sdk, ixel, utils, shared-components, api-client, auth — 内部パッケージ名前空間に対する依存関係の混乱攻撃)、 @klapp-login-platform グループ(native-sdk, oidc, routes —認証プラットフォームになりすますこと)、 internallib_v557 (NAIST) と internallib_v984 (難読化された内部ライブラリの偽装の複数のバージョン) pocteszep (6月11日に6バージョン公開)および、以下を含む暗号およびWeb3ユーティリティのクラスター blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, farming-tools-12を選択します。 morningstar-design-system そのパッケージは6月10日に3つのバージョンで出現し、有名な金融設計システムを装っていた。
6月13日以降、ペースが加速した。 houzidawang806 クラスターだけで1日に25以上のバージョンが公開され、兄弟バージョンも加わった。 houzidawang807 (NAIST) と houzidawang808を選択します。 metrics-pipeline-d8k2 パッケージは6月15日から6月18日の間に21バージョンにわたって継続的に再公開された。これはブロックリストを回避し続けるための継続的なキャンペーンだった。 friendly-greeter-demo パッケージは週を通してバージョン間で繰り返し出現した。新たな依存関係の混乱の試みが xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies、その他いくつか - 全て999.xの範囲で誇張されたバージョン番号が付いています。ランダムな16進数サフィックスが付いた新しい汎用ユーティリティ名群 (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) は 6 月 18 ~ 19 日に出現し、スクリプトによる一括登録と一致した。週の終わりには trimprompt, trimprompt-hub, claude-cup, web3-crypto-address-utils 6月19日に確認済み。PyPIでは、 neuralbridge-sdk (4.5.x~5.1.xの5つのバージョン) deepstrain, teambot-ai, hello-test-s1, aiaddin-agent 今週中に確認された。
これらは孤立した異常事態ではありませんでした。今週特に目立ったのは、内部パッケージ名前空間に対する依存関係混乱攻撃の集中、削除措置を回避して存続することを目的とした複数日にわたる公開キャンペーン、Web3およびDeFiツールに対する継続的な標的攻撃(2026年に著しく加速した傾向)、そして通常の依存関係ツリーに溶け込むことで検出を回避するように設計された、汎用的でノイズのようなパッケージ名の使用の増加です。
この週次スナップショットは、継続的な悪意のあるコードダイジェストの一部であり、新しい脅威を検証し、DevSecOps チームが自社を保護するのに役立つ実用的な情報を提供します。 pipeline被害が発生する前に。今週分かったことと、それがなぜ重要なのかを詳しく見ていきましょう。
組織的なキャンペーンがあなたの Pipelines
今週のダイジェストは、単一の脅威に関するものではなく、その規模に関するものでした。200を超える確認済みパッケージ、複数日にわたるバージョンアップの継続的な流入、そして手動レビューでは追跡できないほどの速さで実行されるスクリプト化された大量登録キャンペーン。攻撃者は、あなたが追いつくのを待ってはくれません。
Xygeni早期マルウェア検出 npm、PyPI、その他のレジストリを継続的に監視し、ビルドに組み込まれた後ではなく、公開された時点で脅威を検出します。例えば、ある攻撃キャンペーンが4日間で同じ悪意のあるパッケージの21バージョンを公開した場合、週1回のスキャンでは何も検出できません。
ザイジェニの Open Source Security このソリューションは、DevSecOps チームがまさにこのような協調的な圧力に先手を打つために必要なリアルタイムの可視性と優先順位付けを提供します。 pipelineチームの作業効率を落とすことなく、清潔さを維持します。




