Секоја недела, нашите системи за откривање на малициозен софтвер скенираат илјадници нови и ажурирани пакети низ јавни регистри како npm и PyPI. Оваа недела не беше исклучок.
Потврдивме над 200 малициозни пакети помеѓу 12 јуни и 19 јуни 2026 година, претежно низ npm, со дополнителни случаи во PyPI. Неколку се појавија во координирани кластери, повторени малициозни изданија објавени под истите имиња или низ тесно поврзани семејства на пакети.
Највпечатливиот случај оваа недела беше sensivity, кој го преплави npm со над 70 версионирани изданија во опсегот 2.5.x, потврдени во текот на повеќе денови. Други значајни кластери вклучуваа бран на @solana-labs типосквотови насочени кон екосистемот Солана (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — преку две одделни кампањи за објавување на 7 јуни и 8 јуни), @nstrlabs семејство (sdk, ixel, utils, shared-components, api-client, auth — напад на конфузија на зависности против внатрешен именски простор на пакети), @klapp-login-platform група (native-sdk, oidc, routes — лажно претставување како платформа за автентикација), internallib_v557 internallib_v984 (повеќе верзии на замаглени измамници од внатрешна библиотека), pocteszep (6 верзии објавени на 11 јуни), и кластер на крипто и Web3 алатки, вклучувајќи blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, и farming-tools-12. на morningstar-design-system Пакетот се појави во три верзии на 10 јуни, имитирајќи добро познат систем за финансиски дизајн.
Од 13 јуни па натаму, темпото се забрза. houzidawang806 Само кластерот сочинуваше над 25 верзии објавени во еден ден, заедно со браќа и сестри houzidawang807 houzidawang808. на metrics-pipeline-d8k2 пакетот беше повторно објавен континуирано во 21 верзија помеѓу 15 јуни и 18 јуни - континуирана кампања за избегнување, дизајнирана да се остане чекор понапред од блок листите. friendly-greeter-demo пакетот постојано се појавуваше низ верзиите во текот на целата недела. Нови обиди за конфузија со зависностите се појавија под xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesи неколку други — сите со зголемени броеви на верзии во опсегот 999.x. Нов кластер на генерички имиња на алатки со случајни хексадецимални наставки (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) се појави на 18-19 јуни, во согласност со скриптирана групна регистрација. Неделата заврши со trimprompt, trimprompt-hub, claude-cup, и web3-crypto-address-utils потврдено на 19 јуни. Во PyPI, neuralbridge-sdk (пет верзии низ 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1, и aiaddin-agent беа потврдени во текот на целата недела.
Ова не беа изолирани аномалии. Она што се издвои оваа недела беше концентрацијата на напади со конфузија на зависности врз внатрешните именски простори на пакети, одржливите повеќедневни кампањи за објавување дизајнирани да ги надминат отстранувањата, континуираното таргетирање на алатките Web3 и DeFi (модел што значително се забрза во 2026 година) и растечката употреба на генерички имиња на пакети слични на шум, дизајнирани да избегнат откривање со мешање во нормални дрвја на зависности.
Оваа неделна снимка е дел од нашиот тековен преглед на малициозен код, каде што ги потврдуваме новите закани и обезбедуваме практични информации за да им помогнеме на тимовите од DevSecOps да ги заштитат своите pipelineпред да се случи штетата. Ајде да анализираме што откривме оваа недела и зошто е важно.
Не дозволувајте координираните кампањи да допрат до вас Pipelines
Овонеделниот преглед не беше за една закана; туку за обемот. Над 200 потврдени пакети, континуирано преплавување на верзии во текот на повеќе денови и скриптирани кампањи за масовно регистрирање што работат побрзо отколку што рачните прегледи можат да ги следат. Напаѓачите не чекаат да ги стигнете.
Рано откривање на малициозен софтвер од Xygeni Континуирано ги следи npm, PyPI и другите регистри, означувајќи ги заканите во моментот на објавување, а не откако ќе се појават во верзијата. Кога кампањата објавува 21 верзија од истиот злонамерен пакет во текот на четири дена, неделното скенирање не открива ништо на време.
Ксигени Open Source Security решението им дава на вашите DevSecOps тимови видливост во реално време и приоритизација што им е потребна за да останат чекор понапред од токму овој вид координиран притисок, така што вашите pipelineОстанете чисти без да ги забавувате вашите тимови.




