All Woch, eis Malware-Detektiounssystemer scannen Dausende vun neien an aktualiséierte Paketen iwwer ëffentlech Registere wéi npm a PyPI. Dës Woch war keng Ausnam.
Mir hunn tëscht dem 12. an dem 19. Juni 2026 iwwer 200 béiswëlleg Pakete confirméiert, haaptsächlech iwwer npm, mat zousätzleche Fäll a PyPI. E puer sinn a koordinéierte Cluster opgetrueden, widderholl béiswëlleg Verëffentlechungen, déi ënner de selwechten Nimm oder iwwer enk verwandte Paketfamillje publizéiert goufen.
De besonnesche Fall dës Woch war sensivity, déi npm mat iwwer 70 Versiounen am 2.5.x Beräich iwwerflut huet, déi iwwer verschidde Deeg bestätegt goufen. Aner bemierkenswäert Cluster waren eng Well vun @solana-labs Typosquats déi sech op de Solana-Ökosystem konzentréieren (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — iwwer zwou separat Publikatiounskampagnen den 7. Juni an den 8. Juni), den @nstrlabs Famill (sdk, ixel, utils, shared-components, api-client, auth — Ofhängegkeetsverwirrungsattack géint en internen Package-Namespace), den @klapp-login-platform Grupp (native-sdk, oidc, routes — sech als Authentifikatiounsplattform ausginn), internallib_v557 an internallib_v984 (verschidden Versioune vu verschleierten internen Bibliothéiksimposteuren), pocteszep (6 Versioune publizéiert den 11. Juni), an e Cluster vu Krypto- an Web3-Utilities, dorënner blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, an farming-tools-12. d' morningstar-design-system De Package ass den 10. Juni an dräi Versiounen erschéngen, an huet sech als e bekannte Finanzdesign-System imitéiert.
Vum 13. Juni un ass d'Tempo eropgaang. houzidawang806 De Cluster eleng huet iwwer 25 Versiounen op engem eenzegen Dag ausgemaach, zesumme mat Geschwëster houzidawang807 an houzidawang808. d' metrics-pipeline-d8k2 De Pak gouf tëscht dem 15. an dem 18. Juni kontinuéierlech a 21 Versiounen nei publizéiert - eng dauerhaft Ausweichungskampagne, déi geduecht war, fir virun de Blocklëschten ze bleiwen. friendly-greeter-demo De Pak ass während der ganzer Woch ëmmer erëm a verschiddene Versiounen opgedaucht. Nei Verwirrungsversich iwwer Ofhängegkeeten sinn opgedaucht. xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, an e puer aner - all mat iwwerdriwwenen Versiounsnummeren am Beräich 999.x. E frësche Cluster vu genereschen Utility-Nimm mat zoufällegen Hexadezimalsuffixen (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) ass den 18. bis den 19. Juni erschéngen, am Aklang mat der geskripter Masseregistréierung. D'Woch ass mat ofgeschloss ginn trimprompt, trimprompt-hub, claude-cup, an web3-crypto-address-utils confirméiert den 19. Juni. Am PyPI, neuralbridge-sdk (fënnef Versiounen iwwer 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1, an aiaddin-agent goufen iwwer d'Woch confirméiert.
Dëst waren keng isoléiert Anomalien. Wat dës Woch opgefall ass, war d'Konzentratioun vun Ofhängegkeets-Verwirrungsattacken géint intern Pakete-Namespacen, déi laangfristeg Publikatiounskampagnen, déi entwéckelt goufen, fir méi laang wéi Takedowns ze iwwerliewen, déi weider Zilsetzung vu Web3- an DeFi-Tooling (e Muster, dat sech 2026 däitlech beschleunegt huet), an eng wuessend Notzung vu genereschen, rauschähnleche Paketnimm, déi entwéckelt goufen, fir d'Detektioun ze vermeiden, andeems se sech an normal Ofhängegkeetsbeem vermëschen.
Dëse wöchentleche Snapshot ass Deel vun eisem lafende Malicious Code Digest, wou mir nei Bedrohungen validéieren an ëmsetzbar Informatiounen ubidden, fir DevSecOps-Teams ze hëllefen, hir ... ze schützen. pipelines ier Schued entsteet. Loosst eis opbriechen, wat mir dës Woch fonnt hunn a firwat et wichteg ass.
Loosst koordinéiert Kampagnen net Är Aufgaben erreechen Pipelines
Dës Woch goung et beim Digest net ëm eng eenzeg Bedroung; et goung ëm d'Gréisst. Iwwer 200 bestätegt Paketen, dauernd Versiounsiwwerflutungen iwwer méi Deeg, a geskripte Masseregistréierungskampagnen, déi méi séier lafen, wéi manuell Iwwerpréiwunge verfollege kënnen. D'Attacker waarde net drop, datt Dir matkënnt.
Xygeni Fréizäiteg Malware Detektioun iwwerwaacht npm, PyPI an aner Registrierungen kontinuéierlech a markéiert Geforen am Moment vun der Verëffentlechung, net nodeems se an engem Build gelant sinn. Wann eng Kampagne 21 Versioune vum selwechte béiswëllege Pak iwwer véier Deeg publizéiert, fënnt e wöchentleche Scan näischt rechtzäiteg.
Xygeni's Open Source Security Dës Léisung gëtt Ären DevSecOps-Teams déi Echtzäitvisibilitéit an d'Prioritéit, déi se brauchen, fir genau dëser Aart vu koordinéiertem Drock e Schrëtt viraus ze sinn, sou datt Är pipelines bleift propper ouni Är Équipen ze bremsen.




