매주저희 악성코드 탐지 시스템은 npm과 PyPI 같은 공개 레지스트리에서 수천 개의 신규 및 업데이트된 패키지를 검사합니다. 이번 주도 예외는 아니었습니다.
2026년 6월 12일부터 6월 19일 사이에 200개 이상의 악성 패키지가 확인되었으며, 주로 npm에서 발견되었고 PyPI에서도 추가 사례가 있었습니다. 여러 건은 조직적인 클러스터 형태로 나타났으며, 동일한 이름이나 밀접하게 관련된 패키지 계열에서 악성 패키지가 반복적으로 배포되었습니다.
이번 주 가장 주목할 만한 사건은 다음과 같습니다. sensivity이는 며칠에 걸쳐 2.5.x 범위에 걸쳐 70개 이상의 버전별 릴리스가 npm에 쏟아져 들어온 현상으로 확인되었습니다. 그 외 주목할 만한 클러스터로는 일련의 릴리스들이 있었습니다. @solana-labs 솔라나 생태계를 노리는 타이포스쿼트(typosquat)web3.js, web3-js, etherjs, spl-toke, ancor, web3js (6월 7일과 6월 8일에 각각 진행된 두 차례의 홍보 캠페인을 통해) @nstrlabs 가족 (sdk, ixel, utils, shared-components, api-client, auth — 내부 패키지 네임스페이스에 대한 종속성 혼동 공격) @klapp-login-platform 그룹 (native-sdk, oidc, routes (인증 플랫폼을 사칭하는 행위) internallib_v557 internallib_v984 (난독화된 내부 라이브러리 사칭체의 여러 버전) pocteszep (6월 11일에 6개 버전이 게시됨) 및 암호화 및 Web3 유틸리티 모음 포함 blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87예산 및 farming-tools-12. 그만큼 morningstar-design-system 해당 패키지는 6월 10일에 세 가지 버전으로 등장했으며, 유명한 금융 디자인 시스템을 사칭했습니다.
6월 13일부터 속도가 빨라졌다. houzidawang806 해당 클러스터에서만 하루 만에 25개 이상의 버전이 게시되었으며, 그 외에도 여러 형제 프로젝트들이 함께 참여했습니다. houzidawang807 houzidawang808. 그만큼 metrics-pipeline-d8k2 해당 패키지는 6월 15일부터 6월 18일 사이에 21개 버전으로 지속적으로 재배포되었는데, 이는 차단 목록을 피하기 위한 지속적인 회피 캠페인이었다. friendly-greeter-demo 해당 패키지는 한 주 동안 여러 버전에서 계속해서 다시 나타났습니다. 새로운 종속성 혼동 시도가 다음과 같은 상황에서 발생했습니다. xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies그리고 그 외에도 여러 가지가 있는데, 모두 999.x 범위의 부풀려진 버전 번호를 가지고 있습니다. 무작위 16진수 접미사가 붙은 일반 유틸리티 이름들의 새로운 집합(color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*)는 6월 18일~19일에 나타났으며, 이는 미리 짜여진 대량 등록 방식과 일치합니다. 그 주는 다음과 같이 마무리되었습니다. trimprompt, trimprompt-hub, claude-cup예산 및 web3-crypto-address-utils 6월 19일에 확인되었습니다. PyPI에서, neuralbridge-sdk (4.5.x~5.1.x 버전에 걸쳐 5가지 버전 제공) deepstrain, teambot-ai, hello-test-s1예산 및 aiaddin-agent 한 주 동안 확인되었습니다.
이러한 현상은 개별적인 예외적인 사례가 아니었습니다. 이번 주에 두드러진 점은 내부 패키지 네임스페이스에 대한 의존성 혼동 공격이 집중적으로 발생했다는 것, 삭제 조치를 피해 며칠 동안 지속되는 게시 캠페인이 벌어졌다는 것, Web3 및 DeFi 툴을 지속적으로 표적으로 삼았다는 것(2026년에 그 빈도가 크게 증가했습니다), 그리고 일반적인 의존성 트리에 섞여 탐지를 피하도록 고안된, 모호하고 의미 없는 패키지 이름의 사용이 증가했다는 것입니다.
이번 주간 스냅샷은 악성 코드 다이제스트의 일환으로, 새로운 위협을 검증하고 DevSecOps 팀이 코드를 보호하는 데 도움이 되는 실질적인 정보를 제공합니다. pipeline피해가 발생하기 전에 예방할 수 있습니다. 이번 주에 발견한 내용과 그 중요성을 자세히 살펴보겠습니다.
조직적인 캠페인에 휘말리지 마세요 Pipelines
이번 주 요약은 단일 위협에 관한 것이 아니라 규모에 관한 것이었습니다. 200개 이상의 확인된 패키지, 며칠에 걸쳐 지속된 버전 배포, 그리고 수동 검토로는 추적할 수 없을 정도로 빠른 속도로 진행되는 스크립트를 이용한 대량 등록 캠페인까지. 공격자들은 여러분이 따라잡을 때까지 기다려주지 않습니다.
Xygeni 조기 악성코드 탐지 npm, PyPI 및 기타 레지스트리를 지속적으로 모니터링하여 빌드에 반영되기 전, 게시되는 즉시 위협을 표시합니다. 예를 들어, 공격 캠페인에서 동일한 악성 패키지의 21개 버전을 4일 동안 게시하는 경우, 주간 검사로는 아무것도 제때 탐지할 수 없습니다.
자이제니스 Open Source Security 이 솔루션은 DevSecOps 팀에게 이러한 조직적인 압력에 앞서 나가는 데 필요한 실시간 가시성과 우선순위 지정 기능을 제공합니다. pipeline팀의 작업 속도를 늦추지 않고도 청결을 유지할 수 있습니다.




