Elke weekOnze malwaredetectiesystemen scannen duizenden nieuwe en bijgewerkte pakketten in openbare registers zoals npm en PyPI. Deze week was daarop geen uitzondering.
Tussen 12 juni en 19 juni 2026 hebben we meer dan 200 kwaadaardige pakketten bevestigd, voornamelijk verspreid over npm, met daarnaast nog gevallen op PyPI. Verschillende daarvan verschenen in gecoördineerde clusters, waarbij kwaadaardige releases herhaaldelijk onder dezelfde namen of binnen nauw verwante pakketfamilies werden gepubliceerd.
De meest opvallende zaak van deze week was sensivity, wat npm overspoelde met meer dan 70 versie-releases in de 2.5.x-reeks, wat zich over meerdere dagen uitstrekte. Andere opvallende clusters waren onder meer een golf van @solana-labs typosquats die zich richten op het Solana-ecosysteem (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — verspreid over twee afzonderlijke publicatiecampagnes op 7 en 8 juni), de @nstrlabs familie (sdk, ixel, utils, shared-components, api-client, auth — een aanval met afhankelijkheidsverwarring tegen een interne pakketnaamruimte), de @klapp-login-platform groep (native-sdk, oidc, routes — zich voordoen als een authenticatieplatform), internallib_v557 en internallib_v984 (meerdere versies van verhulde interne bibliotheekimitaties), pocteszep (6 versies gepubliceerd op 11 juni), en een cluster van crypto- en Web3-hulpprogramma's, waaronder blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87en farming-tools-12. De morningstar-design-system Het pakket verscheen op 10 juni in drie versies en deed zich voor als een bekend financieel ontwerpsysteem.
Vanaf 13 juni versnelde het tempo. houzidawang806 Het cluster alleen al was verantwoordelijk voor meer dan 25 versies die op één dag werden gepubliceerd, en dat werd aangevuld door andere clusters. houzidawang807 en houzidawang808. De metrics-pipeline-d8k2 Het pakket werd tussen 15 en 18 juni continu in 21 versies opnieuw gepubliceerd – een aanhoudende ontwijkingscampagne om blokkeerlijsten voor te blijven. friendly-greeter-demo Het pakket bleef de hele week in verschillende versies opduiken. Nieuwe pogingen tot verwarring over afhankelijkheden doken op onder xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesen diverse andere — allemaal met opgeblazen versienummers in de 999.x-reeks. Een nieuwe reeks generieke hulpprogrammanamen met willekeurige hexadecimale achtervoegsels (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) verscheen op 18-19 juni, in overeenstemming met de geplande massale registratie. De week eindigde met trimprompt, trimprompt-hub, claude-cupen web3-crypto-address-utils bevestigd op 19 juni. Op PyPI, neuralbridge-sdk (vijf versies van 4.5.x tot en met 5.1.x), deepstrain, teambot-ai, hello-test-s1en aiaddin-agent werden in de loop van de week bevestigd.
Dit waren geen geïsoleerde afwijkingen. Wat deze week opviel, was de concentratie van aanvallen met verwarring over afhankelijkheden tegen interne pakketnaamruimten, de aanhoudende meerdaagse publicatiecampagnes die ontworpen waren om verwijdering te overleven, de voortdurende aanvallen op Web3- en DeFi-tools (een patroon dat in 2026 aanzienlijk is versneld) en het toenemende gebruik van generieke, ruisachtige pakketnamen die ontworpen zijn om detectie te ontwijken door op te gaan in normale afhankelijkheidsstructuren.
Deze wekelijkse momentopname maakt deel uit van onze doorlopende Malicious Code Digest, waarin we nieuwe bedreigingen valideren en bruikbare informatie verstrekken om DevSecOps-teams te helpen hun systemen te beschermen. pipelines voordat er schade optreedt. Laten we eens bekijken wat we deze week hebben ontdekt en waarom dat belangrijk is.
Laat gecoördineerde campagnes uw leven niet beïnvloeden. Pipelines
Het overzicht van deze week ging niet over één enkele dreiging, maar over de omvang ervan. Meer dan 200 bevestigde pakketten, een aanhoudende verspreiding van nieuwe versies gedurende meerdere dagen en geautomatiseerde bulkregistratiecampagnes die sneller verlopen dan handmatige controles kunnen bijhouden. De aanvallers wachten niet tot u ze in de gaten hebt.
Xygeni vroege malwaredetectie Het systeem monitort continu npm, PyPI en andere registers en signaleert bedreigingen op het moment van publicatie, niet nadat ze in een build zijn opgenomen. Wanneer een campagne 21 versies van hetzelfde kwaadaardige pakket in vier dagen publiceert, detecteert een wekelijkse scan niets op tijd.
Xygeni's Open Source Security Deze oplossing biedt uw DevSecOps-teams het realtime inzicht en de prioriteringsmogelijkheden die ze nodig hebben om dit soort gecoördineerde druk het hoofd te bieden, zodat uw pipelineZorg voor een schone omgeving zonder je teams te vertragen.




