Bine aţi venit la Ediția din iunie a revistei Xygeni Malicious Code DigestLuna aceasta, echipa noastră de cercetare în domeniul securității a confirmat mai mult de 645 de pachete rău intenționate în npm, PyPI și (pentru prima dată) pe piața extensiilor VSCode.
Luna iunie a fost definită de trei tendințe convergente: campanii susținute de inundare a versiunilor, concepute pentru a rezista mai mult decât listele de blocare, o accelerare bruscă a atacurilor care vizează instrumentele de inteligență artificială și fluxurile de lucru de dezvoltare agențică și atacuri coordonate de confuzie a dependenței împotriva spațiilor de nume monorepo interne.
Printre cele mai notabile campanii documentate în această lună:
- sensibilitate a inundat NPM cu peste 70 de versiuni în gama 2.5.x, o campanie susținută de evitare a atacurilor, republicând continuu pentru a rămâne cu un pas înaintea eliminărilor.
- A campanie Solana typosquat în două valuri (7–8 iunie) a publicat 15 pachete care uzurpau identitatea
@solana-labsinstrumente pentru ecosistem, vizând direct dezvoltatorii Web3 și DeFi. - houzidawang806 a reprezentat peste 25 de versiuni într-o singură zi (13 iunie), alături de metrici-pipeline-d8k2 republicat în 21 de versiuni între 15 și 18 iunie.
- Confuzie CryptoDAO campanie (17 iunie) a publicat 11 pachete la versiunea 99.99.99, fiecare având o funcție identică de scanare post-instalare CI/CD token-uri, acreditări în cloud și secrete ale portofelului cripto.
- Săptămâna 20-26 iunie a adus cea mai concentrată direcționare a instrumentelor de inteligență artificială a lunii: ajutoare ollama (20 versiuni), openai-agenți-ajutoare (23 versiuni), monoclaudă, ai-sdk-helpers și @langgraphjs/trusă de instrumente, toate confirmate într-o singură săptămână, vizând direct Ollama, SDK-ul agenților OpenAI, integrările LangGraph și API-ul Claude.
- Două confirmate extensii VSCode malițioase a apărut luna aceasta, semnalând că atacatorii se extind dincolo de registrele de pachete, în mediul dezvoltatorului în sine.
Tiparul definitoriu al lunii iunie: atacurile se îndreaptă către extensiile IDE, instrumentele agenților AI și fluxurile de lucru agențice, unde un pachet rău intenționat instalat autonom nu are un examinator uman între infectare și execuție.
Această actualizare lunară face parte din inițiativa continuă de cercetare a Xygeni privind programele malware și amenințările la adresa lanțului de aprovizionare. Pentru contextul complet al fiecărui pachet malițios confirmat în această lună, explorați raportul complet din iunie privind codul malițios și cercetările aferente realizate de echipa de securitate Xygeni.
Săptămâna 4: Peste 201 de pachete descoperite
| SnowGem | Pachet | Data |
|---|---|---|
| 20 Iunie, 2026 | ||
| NPM | panrouter:5.0.2 + 30 de versiuni în intervalul 5.x–6.x până pe 22 iunie — campania dominantă a săptămânii | Iunie 20, 2026 |
| NPM | prompt de ajustare: 1.0.5 + 4 versiuni — continuare de săptămâna precedentă, încă activă | Iunie 20, 2026 |
| NPM | monoclaudă:1.0.1 + 2 versiuni — Personificarea instrumentelor API Claude | Iunie 20, 2026 |
| vscode | programare-pereche-agentică-orbitală-pentru-Smalltalk:1.206.0 + 1 versiune — extensie VSCode malițioasă care vizează dezvoltarea agenților | Iunie 20, 2026 |
| NPM | simplisafe-gatsby:1.0.1 Identificarea spațiului de nume al platformei Smart Home | Iunie 20, 2026 |
| 21 Iunie, 2026 | ||
| NPM | atlasora-shared:1.0.0 + 6 pachete — confuzie coordonată privind dependența monorepo: atlasora-api, -client, -sdk, -types, -utils, -config | Iunie 21, 2026 |
| NPM | apintegrationpost:4.0.2 + 6 versiuni — campanie de greșeli de ortografie intenționate care vizează instrumentele de integrare | Iunie 21, 2026 |
| NPM | llm-traces-app:1.0.1 Instrumente de observabilitate LLM vizate | Iunie 21, 2026 |
| pypi | d0rk3r-telemetrie:1.0.0 Pachet de telemetrie ofuscat în PyPI | Iunie 21, 2026 |
| 22 Iunie, 2026 | ||
| pypi | tm-ai:2.91.75 + 7 versiuni — campanie susținută de inundare a versiunilor PyPI | Iunie 22, 2026 |
| pypi | cerere-cache-py:1.0.4 + 6 versiuni — inundații de versiuni PyPI | Iunie 22, 2026 |
| pypi | corvinos:0.17.0 + 6 versiuni — Campanie de înregistrare în bloc PyPI | Iunie 22, 2026 |
| 23 Iunie, 2026 | ||
| NPM | web3-token-helper:1.1.1 + 2 versiuni — direcționarea utilitarului de token-uri Web3 | Iunie 23, 2026 |
| NPM | monocross:1.0.1 + 1 versiune — cluster de denumire mono-* alături de monoclaude și monotacos | Iunie 23, 2026 |
| 24 Iunie, 2026 | ||
| NPM | ollama-ajutoare:0.1.0 + 19 versiuni — cea mai mare campanie de instrumente AI a lunii, care vizează runtime-ul AI local Ollama | Iunie 24, 2026 |
| NPM | openai-agents-helpers:0.1.1 + 22 de versiuni — campanie coordonată care vizează ecosistemul SDK al agenților OpenAI | Iunie 24, 2026 |
| 25 Iunie, 2026 | ||
| NPM | ai-sdk-helpers:1.4.3 Instrumente SDK AI vizate alături de @langgraphjs/toolkit:1.2.11 | Iunie 25, 2026 |
| NPM | signup-embedder:99.99.99-poc3 + hs-locale-management — Confuzie privind dependența spațiului de nume intern HubSpot, sufixul poc confirmă o campanie de cercetare activă | Iunie 25, 2026 |
| 26 Iunie, 2026 | ||
| NPM | kit-easy-string:1.0.1 + 8 versiuni, inclusiv varianta easy-string-kit232 — înregistrare în bloc sub numele generic al utilitarului | Iunie 26, 2026 |
| NPM | pachet-nesigur-dăunător:1.0.0 + 5 versiuni — pachet denumit explicit ca fiind rău intenționat, sarcină utilă confirmată, probabil test sau campanie de provocare | Iunie 26, 2026 |
| NPM | @vpms/sistem-de-design:1.1.2 + 2 versiuni — proiectarea identității spațiului de nume al sistemului | Iunie 26, 2026 |
Săptămâna 3: Peste 200 de pachete descoperite
| SnowGem | Pachet | Data |
|---|---|---|
| 13 Iunie, 2026 | ||
| NPM | houzidawang806:1.0.0 + 25 de versiuni între 1.0.x și 1.2.x, inclusiv versiunile similare houzidawang807 și houzidawang808 — campania dominantă a săptămânii | Iunie 13, 2026 |
| NPM | demo-friendly-greeter:1.0.2 + 4 versiuni — campanie persistentă care reapare pe parcursul mai multor zile | Iunie 13, 2026 |
| NPM | tsc-ai:1.2.0 cluster tsc-*: tsc-ai, tsc-mesh, tsc-lotl — impersonare a spațiului de nume pentru instrumente CI | Iunie 13, 2026 |
| pypi | neuralbridge-sdk:4.5.4 + 6 versiuni între 4.5.x și 5.1.x — campanie PyPI susținută pe mai multe zile | Iunie 13, 2026 |
| 15 Iunie, 2026 | ||
| NPM | prețuri-jeton-cron:999.0.0 + 6 pachete — Clusterul de confuzie privind dependența infrastructurii DeFi vizează instrumentele interne cron și seif | Iunie 15, 2026 |
| 16 Iunie, 2026 | ||
| NPM | bodega-sdk:9.9.9 + 8 pachete — împrumuturi DeFi și cluster de ecosistem Cardano: flow-lending, surf-lending, janus-*, flowcardano, flowdefi | Iunie 16, 2026 |
| NPM | metrici-eveniment-q3x7:1.0.0 + 8 versiuni — pachet generic cu sufixe hexadecimale care înregistrează nume tematice de monitorizare în masă | Iunie 16, 2026 |
| NPM | nic-datagov:1.0.0 + 3 pachete — impersonare a spațiului de nume al platformei de date guvernamentale: ogd-analytics, ogd-platform, dms-backend | Iunie 16, 2026 |
| 17 Iunie, 2026 | ||
| NPM | contracte cryptodao: 99.99.99 + 10 pachete — Confuzie privind dependența CryptoDAO: core, sdk, bot, config, utils, deploy, signer, backend, types | Iunie 17, 2026 |
| pypi | teambot-ai:1.48.0 Instrumente pentru agenți AI direcționate către PyPI | Iunie 17, 2026 |
| 18 Iunie, 2026 | ||
| NPM | metrici-pipeline-d8k2:1.0.0 + 20 de versiuni pe 18 iunie — campanie susținută de evitare a accesului timp de o zi, republicare continuă pentru a depăși listele de blocare | Iunie 18, 2026 |
| NPM | doar scanare: 0.4.5 + 6 versiuni — campanie de inundare a versiunilor | Iunie 18, 2026 |
| NPM | color-utils-dee0:1.0.0 + 5 pachete generice cu sufixe hexadecimale: data-utils, string-tools, type-check, fmt-helpers, metrics-probe — înregistrare în bloc scriptată | Iunie 18, 2026 |
| NPM | @azure-lab-services/ml-ts:99.0.0 Impersonarea spațiului de nume Azure ML | Iunie 18, 2026 |
| 19 Iunie, 2026 | ||
| NPM | prompt de ajustare: 1.0.2 + trimprompt-hub — instrumente de inginerie promptă direcționate | Iunie 19, 2026 |
| NPM | cupă claude: 0.8.6 Impersonarea instrumentelor API Claude | Iunie 19, 2026 |
| pypi | aiaddin-agent:0.1.0 Instrumente pentru agenți AI direcționate către PyPI | Iunie 19, 2026 |
| NPM | web3-crypto-address-utils:0.1.0 Direcționarea utilitară Web3 | Iunie 19, 2026 |
Săptămâna 2: Peste 135 de pachete descoperite
| SnowGem | Pachet | Data |
|---|---|---|
| 7 Iunie, 2026 | ||
| NPM | @solana-labs/web3.js:1.0.0 + 5 variante — Campania typosquat a ecosistemului Solana, primul val | Iunie 7, 2026 |
| NPM | @jisan901/teamfocus:1.0.0 + 2 versiuni | Iunie 7, 2026 |
| NPM | @sflyinc-knapsack/shutterfly-react:999.0.0 Confuzie de dependențe, versiune umflată | Iunie 7, 2026 |
| 8 Iunie, 2026 | ||
| NPM | @solana-labs/web3.js:1.98.102 + 9 variante — Campania typosquat a ecosistemului Solana, al doilea val | Iunie 8, 2026 |
| pypi | helixagentai:0.1.3 Instrumente pentru agenți AI direcționate către PyPI | Iunie 8, 2026 |
| 9 Iunie, 2026 | ||
| NPM | @nstrlabs/sdk:99.0.0 + 7 pachete — confuzie privind dependența față de spațiul de nume intern monorepo | Iunie 9, 2026 |
| NPM | @klapp-login-platform/native-sdk:99.0.0 + 9 pachete — imitație de platformă de autentificare în mai multe spații de nume klapp | Iunie 9, 2026 |
| NPM | blockchain-helper-0:1.0.0 + 7 pachete — cluster de utilități crypto/DeFi care vizează dezvoltatorii Web3 | Iunie 9, 2026 |
| NPM | @card-pci-data/store:99.0.0 Spațiul de nume vizat pentru datele cardurilor de plată | Iunie 9, 2026 |
| 10 Iunie, 2026 | ||
| NPM | morningstar-design-system:99.0.0 + 2 versiuni — imitație de sistem de design financiar | Iunie 10, 2026 |
| 11 Iunie, 2026 | ||
| NPM | pocteszep:1.0.1 + 5 versiuni publicate în aceeași zi | Iunie 11, 2026 |
| NPM | @coze-common/zona-de-chat:99.1.1 Impersonarea spațiului de nume al platformei de chat cu inteligență artificială | Iunie 11, 2026 |
| pypi | telegramlite:1.0.0 + 1 versiune — uzurparea identității platformei de mesagerie în PyPI | Iunie 11, 2026 |
| 12 Iunie, 2026 | ||
| NPM | ecto-corsair-whisper-6f3b9:1.0.18 + 7 variante ecto-* — grup de nume ofuscate | Iunie 12, 2026 |
| NPM | internallib_v984:1.0.3 + clusterul internallib_v557 — 13 versiuni de impostori de biblioteci interne | Iunie 12, 2026 |
| NPM | voyager-web:999.0.0 Confuzie de dependențe, versiune umflată | Iunie 12, 2026 |
| pypi | cdjeez:0.32.0 | Iunie 12, 2026 |
Săptămâna 1: Peste 118 de pachete descoperite
| SnowGem | Pachet | Data |
|---|---|---|
| 30 Mai, 2026 | ||
| NPM | @cloudplatform-single-spa/administrare:99.99.100 Confuzie de dependențe, versiune umflată | 30 Mai, 2026 |
| vscode | xampp-manager:5.1.3 Extensie VSCode — uzurpare de identitate a instrumentului pentru dezvoltatori | 30 Mai, 2026 |
| 1 Iunie, 2026 | ||
| NPM | @tse-digital/core:99.0.0 Confuzie privind dependența — @telenor-se și @ownit au fost, de asemenea, afectate | Iunie 1, 2026 |
| NPM | cms-storehub:1.3.4 + 2 versiuni, cluster de spațiu de nume CMS | Iunie 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.69 + 6 versiuni, numere de versiune umflate care vizează acreditările AWS | Iunie 1, 2026 |
| NPM | documente pacient: 75.0.0 Țintă spațiu de nume pentru sănătate | Iunie 1, 2026 |
| NPM | @emcd-vue/auth:6.4.9 Identificarea spațiului de nume al bursei de criptomonede | Iunie 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Iunie 1, 2026 |
| 2 Iunie, 2026 | ||
| NPM | sensibilitate: 2.5.8 + 70 de versiuni în intervalul 2.5.x, 2–5 iunie — campania dominantă a perioadei | Iunie 2, 2026 |
| NPM | @langgraphjs/toolkit:1.2.10 Instrumentele LangGraph vizate | Iunie 2, 2026 |
| 4 Iunie, 2026 | ||
| NPM | @sentry-browser-sdk/profiling-node:1.0.1 + 2 versiuni, uzurpare de nume Sentry | Iunie 4, 2026 |
| NPM | internallib_v346:1.0.3 + 2 versiuni, impostor intern în bibliotecă | Iunie 4, 2026 |
| NPM | ai-sdk-helpers:0.2.1 + 7 versiuni, vizând instrumentele SDK pentru inteligență artificială | Iunie 4, 2026 |
Oprește codul rău intenționat înainte să ajungă la tine Pipeline
Amenințările legate de lanțul de aprovizionare cu software au depășit cu mult limitele teoretice. Atacurile legate de confuzia de dependențe, furtul de credențiale, programele malware direcționate către inteligența artificială și instrumentele de dezvoltare otrăvite lovesc echipe reale în situații reale. SDLCîn fiecare săptămână.
Xygeni detectarea programelor malware și platformă de securitate a lanțului de aprovizionare oferă organizațiilor vizibilitatea necesară pentru a detecta dependențele rău intenționate înainte ca acestea să se execute pe o mașină de dezvoltator, să intre într-un sistem de compilare sau să ajungă în producție. Acoperirea se întinde pe npm, PyPI, VSCode și nu numai, monitorizând modele de publicare suspecte, abuz de spațiu de nume, typosquatting și tehnici de atac native bazate pe inteligență artificială pe măsură ce apar.
Fiecare constatare este prioritizată automat în funcție de exploatabilitate, accesibilitate și impact asupra afacerii, astfel încât echipa ta se concentrează pe ceea ce trebuie cu adevărat remediat, nu pe problemele care trebuie rezolvate.
Indiferent dacă este vorba de un pachet open-source rău intenționat, un instrument de dezvoltare compromis sau un risc de cod generat de inteligența artificială, Xygeni menține echipele de securitate și inginerie cu un pas înaintea peisajului amenințărilor la adresa lanțului de aprovizionare.
Explorați fiecare pachet și campanie rău intenționate validate de echipa de securitate Xygeni din Rezumat Cod Răufăcător.
Rămâi în siguranță. Rămâi rapid. Păstrează controlul cu Xygeni.




