Setiap minggu, sistem pengesanan malware kami mengimbas beribu-ribu pakej baharu dan dikemas kini merentasi daftar awam seperti npm dan PyPI. Minggu ini tidak terkecuali.
Kami mengesahkan lebih 200 pakej berniat jahat antara 12 Jun dan 19 Jun 2026, kebanyakannya merentasi npm, dengan kes tambahan dalam PyPI. Beberapa muncul dalam kelompok yang diselaraskan, keluaran berniat jahat berulang yang diterbitkan di bawah nama yang sama atau merentasi keluarga pakej yang berkait rapat.
Kes yang paling ketara minggu ini ialah sensivity, yang membanjiri npm dengan lebih 70 keluaran versi merentasi julat 2.5.x, disahkan dalam beberapa hari. Kelompok penting lain termasuk gelombang @solana-labs typosquats yang menyasarkan ekosistem Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — merentasi dua kempen penerbitan berasingan pada 7 Jun dan 8 Jun), @nstrlabs keluarga (sdk, ixel, utils, shared-components, api-client, auth — serangan kekeliruan kebergantungan terhadap ruang nama pakej dalaman), yang @klapp-login-platform kumpulan (native-sdk, oidc, routes — menyamar sebagai platform pengesahan), internallib_v557 dan internallib_v984 (berbilang versi penipu perpustakaan dalaman yang dikaburkan), pocteszep (6 versi diterbitkan pada 11 Jun), dan sekumpulan utiliti kripto dan Web3 termasuk blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, dan farming-tools-12. Yang morningstar-design-system pakej tersebut muncul dalam tiga versi pada 10 Jun, menyamar sebagai sistem reka bentuk kewangan yang terkenal.
Dari 13 Jun dan seterusnya, rentaknya semakin pantas. houzidawang806 kluster sahaja menyumbang lebih 25 versi yang diterbitkan dalam satu hari, disertai oleh adik-beradik houzidawang807 dan houzidawang808. Yang metrics-pipeline-d8k2 pakej telah diterbitkan semula secara berterusan merentasi 21 versi antara 15 Jun dan 18 Jun — satu kempen pengelakan berterusan yang direka untuk kekal mendahului senarai sekatan. friendly-greeter-demo pakej terus muncul semula merentasi versi sepanjang minggu. Percubaan kekeliruan kebergantungan baharu muncul di bawah xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, dan beberapa yang lain — semuanya membawa nombor versi yang dinaikkan dalam julat 999.x. Sekumpulan nama utiliti generik baharu dengan akhiran heks rawak (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) muncul pada 18–19 Jun, selaras dengan pendaftaran pukal yang telah ditetapkan. Minggu ini ditutup dengan trimprompt, trimprompt-hub, claude-cup, dan web3-crypto-address-utils disahkan pada 19 Jun. Dalam PyPI, neuralbridge-sdk (lima versi merentasi 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1, dan aiaddin-agent telah disahkan sepanjang minggu.
Ini bukanlah anomali terpencil. Apa yang menonjol minggu ini ialah penumpuan serangan kekeliruan kebergantungan terhadap ruang nama pakej dalaman, kempen penerbitan berbilang hari yang berterusan yang direka untuk mengatasi penghapusan, penyasaran berterusan perkakasan Web3 dan DeFi (corak yang telah dipercepatkan dengan ketara pada tahun 2026), dan penggunaan nama pakej generik seperti hingar yang semakin meningkat yang direka bentuk untuk mengelak pengesanan dengan menggabungkannya ke dalam pokok kebergantungan biasa.
Gambaran ringkas mingguan ini merupakan sebahagian daripada Ringkasan Kod Berbahaya kami yang berterusan, di mana kami mengesahkan ancaman baharu dan menyediakan risikan yang boleh diambil tindakan untuk membantu pasukan DevSecOps melindungi mereka pipelinesebelum kerosakan berlaku. Mari kita huraikan apa yang kita temui minggu ini dan mengapa ia penting.
Jangan Biarkan Kempen Terselaras Mencapai Anda Pipelines
Ringkasan minggu ini bukan tentang satu ancaman sahaja; ia tentang skala. Lebih 200 pakej yang disahkan, limpahan versi yang berterusan dalam beberapa hari dan kempen pendaftaran pukal berskrip berjalan lebih pantas daripada yang dapat dijejaki oleh semakan manual. Penyerang tidak menunggu anda untuk mengejar.
Pengesanan Perisian Hasad Awal Xygeni memantau npm, PyPI dan daftar lain secara berterusan, menandakan ancaman pada saat penerbitan, bukan selepas ia mendarat dalam binaan. Apabila kempen menerbitkan 21 versi pakej berniat jahat yang sama sepanjang empat hari, imbasan mingguan tidak menangkap apa-apa tepat pada masanya.
Xygeni's Open Source Security penyelesaian ini memberikan pasukan DevSecOps anda keterlihatan dan keutamaan masa nyata yang mereka perlukan untuk terus mendahului tekanan terselaras seperti ini, jadi anda pipelineKekal bersih tanpa memperlahankan pasukan anda.




