Prawie co tydzieńNasze systemy wykrywania złośliwego oprogramowania skanują tysiące nowych i zaktualizowanych pakietów w rejestrach publicznych, takich jak npm i PyPI. Ten tydzień nie był wyjątkiem.
Potwierdziliśmy ponad 130 złośliwych pakietów między 7 a 12 czerwca 2026 roku, głównie w npm, z dodatkowymi przypadkami w PyPI. Kilka z nich pojawiło się w skoordynowanych klastrach, powtarzających się złośliwych wydaniach opublikowanych pod tymi samymi nazwami lub w blisko spokrewnionych rodzinach pakietów.
Najbardziej wyróżniającym się przypadkiem tego tygodnia był sensivity, co spowodowało zalanie npm ponad 40 wersjonowanymi wydaniami z zakresu 2.5.x, potwierdzonymi w ciągu kilku dni. Inne godne uwagi skupiska obejmowały falę @solana-labs typosquatów atakujących ekosystem Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — w ramach dwóch oddzielnych kampanii wydawniczych 7 i 8 czerwca), @nstrlabs rodzina (sdk, ixel, utils, shared-components, api-client, auth — atak polegający na pomyłce zależności w wewnętrznej przestrzeni nazw pakietów), @klapp-login-platform grupa (native-sdk, oidc, routes — podszywająca się pod platformę uwierzytelniania), internallib_v557 oraz internallib_v984 (wiele wersji zaciemnionych wewnętrznych oszustów bibliotecznych), pocteszep (6 wersji opublikowanych 11 czerwca) oraz klaster narzędzi kryptograficznych i Web3, w tym blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, farming-tools-12, morningstar-design-system Pakiet pojawił się w trzech wersjach 10 czerwca, imitując znany system do projektowania finansów. W PyPI helixagentai, telegramlite, cdjeez zostały potwierdzone w ciągu tygodnia.
Nie były to odosobnione anomalie. W tym tygodniu szczególnie rzuciła się w oczy koncentracja ataków polegających na pomyłce w zależnościach na wewnętrzne przestrzenie nazw pakietów, ciągłe, wielodniowe publikowanie sensivity klaster oraz ciągłe wykorzystywanie narzędzi Web3 i Solana, wzorzec, który znacznie przyspieszy w roku 2026.
Ten cotygodniowy przegląd jest częścią naszego bieżącego przeglądu złośliwego kodu, w ramach którego weryfikujemy nowe zagrożenia i dostarczamy przydatne informacje, które pomogą zespołom DevSecOps chronić swoje pipelinezanim dojdzie do uszkodzenia.
Przyjrzyjmy się bliżej temu, co odkryliśmy w tym tygodniu i dlaczego jest to ważne.
Nie pozwól, aby złośliwe pakiety dotarły do produkcji
Pakiety, od których zależą działania Twoich zespołów, coraz częściej służą jako punkt wejścia. Wczesne wykrywanie złośliwego oprogramowania Xygeni monitoruje rejestry w czasie rzeczywistym, dzięki czemu zagrożenia takie jak te opisane w tym cotygodniowym podsumowaniu są blokowane, zanim dotrą do Twoich kompilacji.
Odkrycia z tego tygodnia przypominają, że taktyki stają się coraz bardziej przemyślane. Rozlewanie wersji, podszywanie się pod przestrzenie nazw i wielodniowe skoordynowane kampanie nie są już przypadkami skrajnymi, lecz… standard Podręcznik atakującego. Jednorazowe skanowanie i ręczne audyty nie nadążają za kampaniami, które publikują dziesiątki wersji w ciągu wielu dni i rejestrów jednocześnie.
Xygeni'ego Open Source Security Rozwiązanie zapewnia zespołom DevSecOps ciągłą widoczność w środowiskach npm, PyPI i innych, wykrywając szkodliwe pakiety w momencie publikacji, priorytetyzując te, które stwarzają realne ryzyko wykorzystania i skracając drogę od wykrycia do naprawy. Dzięki temu zespoły mogą szybko wdrażać zmiany bez narażania bezpieczeństwa.




