Toda semanaNossos sistemas de detecção de malware examinam milhares de pacotes novos e atualizados em registros públicos como npm e PyPI. Esta semana não foi exceção.
Confirmamos mais de 200 pacotes maliciosos entre 12 e 19 de junho de 2026, predominantemente no npm, com casos adicionais no PyPI. Vários apareceram em clusters coordenados, com lançamentos maliciosos repetidos publicados sob os mesmos nomes ou em famílias de pacotes intimamente relacionadas.
O caso mais notável desta semana foi sensivity, que inundou o npm com mais de 70 versões diferentes, abrangendo a gama 2.5.x, confirmado ao longo de vários dias. Outros agrupamentos notáveis incluíram uma onda de @solana-labs typosquats visando o ecossistema Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — em duas campanhas de publicação separadas, nos dias 7 e 8 de junho), o @nstrlabs família (sdk, ixel, utils, shared-components, api-client, auth — ataque de confusão de dependência contra um namespace de pacote interno), o @klapp-Conecte-se-platform grupo (native-sdk, oidc, routes — fingindo ser uma plataforma de autenticação), internallib_v557 e internallib_v984 (múltiplas versões de impostores de biblioteca interna ofuscados), pocteszep (6 versões publicadas em 11 de junho) e um conjunto de utilitários de criptografia e Web3, incluindo blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87 e farming-tools-12. O morningstar-design-system O pacote apareceu em três versões no dia 10 de junho, imitando um conhecido sistema de design financeiro.
A partir de 13 de junho, o ritmo acelerou. houzidawang806 O cluster sozinho foi responsável por mais de 25 versões publicadas em um único dia, juntamente com versões irmãs. houzidawang807 e houzidawang808. O metrics-pipeline-d8k2 O pacote foi republicado continuamente em 21 versões entre 15 e 18 de junho — uma campanha de evasão sustentada, concebida para se manter à frente das listas de bloqueio. friendly-greeter-demo O pacote continuou reaparecendo em diferentes versões ao longo da semana. Novas tentativas de confusão de dependências surgiram em xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, e vários outros — todos com números de versão inflados na faixa 999.x. Um novo conjunto de nomes de utilitários genéricos com sufixos hexadecimais aleatórios (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) apareceu nos dias 18 e 19 de junho, de acordo com o registro em massa programado. A semana terminou com trimprompt, trimprompt-hub, claude-cup e web3-crypto-address-utils Confirmado em 19 de junho. No PyPI, neuralbridge-sdk (cinco versões entre 4.5.x e 5.1.x), deepstrain, teambot-ai, hello-test-s1 e aiaddin-agent Foram confirmadas ao longo da semana.
Essas não foram anomalias isoladas. O que se destacou nesta semana foi a concentração de ataques de confusão de dependências contra namespaces de pacotes internos, as campanhas de publicação sustentadas por vários dias, projetadas para resistir a remoções, o direcionamento contínuo a ferramentas Web3 e DeFi (um padrão que se acelerou significativamente em 2026) e o uso crescente de nomes de pacotes genéricos, semelhantes a ruído, criados para evitar a detecção, misturando-se às árvores de dependência normais.
Este resumo semanal faz parte do nosso relatório contínuo sobre códigos maliciosos, onde validamos novas ameaças e fornecemos informações práticas para ajudar as equipes de DevSecOps a protegerem seus sistemas. pipelineantes que ocorram danos. Vamos analisar o que descobrimos esta semana e por que isso é importante.
Não deixe que campanhas coordenadas cheguem até você. Pipelines
O resumo desta semana não tratou de uma única ameaça, mas sim de escala. Mais de 200 pacotes confirmados, disseminação contínua de versões ao longo de vários dias e campanhas de registro em massa automatizadas, executadas mais rapidamente do que as análises manuais conseguem acompanhar. Os atacantes não estão esperando que você se atualize.
Detecção precoce de malware Xygeni Monitora continuamente o npm, o PyPI e outros registros, sinalizando ameaças no momento da publicação, não depois que elas são incorporadas a uma compilação. Quando uma campanha publica 21 versões do mesmo pacote malicioso ao longo de quatro dias, uma verificação semanal não detecta nada a tempo.
Xygeni Open Source Security A solução oferece às suas equipes de DevSecOps a visibilidade e a priorização em tempo real de que precisam para se manterem à frente desse tipo de pressão coordenada. pipelineMantenha-se organizado sem prejudicar o desempenho de suas equipes.





