În fiecare săptămână, sistemele noastre de detectare a programelor malware scanează mii de pachete noi și actualizate în registre publice precum npm și PyPI. Săptămâna aceasta nu a făcut excepție.
Am confirmat peste 200 de pachete rău intenționate între 12 și 19 iunie 2026, predominant în cadrul npm, cu cazuri suplimentare în PyPI. Mai multe au apărut în clustere coordonate, versiuni repetate de pachete rău intenționate publicate sub aceleași nume sau în familii de pachete strâns înrudite.
Cazul remarcabil din această săptămână a fost sensivity, care a inundat npm cu peste 70 de versiuni în intervalul 2.5.x, confirmate pe parcursul mai multor zile. Alte grupuri notabile au inclus un val de @solana-labs typosquats care vizează ecosistemul Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — în două campanii de publicare separate, pe 7 iunie și 8 iunie), @nstrlabs familie (sdk, ixel, utils, shared-components, api-client, auth — atac de confuzie a dependenței împotriva unui spațiu de nume intern al unui pachet), @klapp-login-platform grup (native-sdk, oidc, routes — uzurparea identității unei platforme de autentificare), internallib_v557 și internallib_v984 (mai multe versiuni ale impostorilor de bibliotecă internă ofuscați), pocteszep (6 versiuni publicate pe 11 iunie) și un grup de utilități cripto și Web3, inclusiv blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87 și farming-tools-12. morningstar-design-system Pachetul a apărut în trei versiuni pe 10 iunie, imitând un sistem de design financiar bine-cunoscut.
Din 13 iunie încolo, ritmul s-a accelerat. houzidawang806 singurul cluster a reprezentat peste 25 de versiuni publicate într-o singură zi, alături de alte versiuni similare houzidawang807 și houzidawang808. metrics-pipeline-d8k2 Pachetul a fost republicat continuu în 21 de versiuni între 15 și 18 iunie - o campanie susținută de evitare a atacurilor, concepută pentru a rămâne cu un pas înaintea listelor de blocare. friendly-greeter-demo pachetul a reapărut în mod repetat în diferite versiuni pe parcursul săptămânii. Noi încercări de confuzie cu dependențe au apărut sub xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, și câteva altele — toate având numere de versiune umflate în intervalul 999.x. Un nou grup de nume generice de utilități cu sufixe hexadecimale aleatorii (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) a apărut pe 18–19 iunie, în concordanță cu înregistrarea în masă cu scenariu. Săptămâna s-a încheiat cu trimprompt, trimprompt-hub, claude-cup și web3-crypto-address-utils confirmat pe 19 iunie. În PyPI, neuralbridge-sdk (cinci versiuni între 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1 și aiaddin-agent au fost confirmate pe parcursul săptămânii.
Acestea nu au fost anomalii izolate. Ceea ce a ieșit în evidență săptămâna aceasta a fost concentrarea atacurilor de confuzie a dependențelor împotriva spațiilor de nume interne ale pachetelor, campaniile susținute de publicare pe mai multe zile, concepute să reziste mai mult decât închiderile, direcționarea continuă a instrumentelor Web3 și DeFi (un model care s-a accelerat semnificativ în 2026) și o utilizare tot mai mare a numelor generice de pachete, asemănătoare zgomotului, concepute pentru a evita detectarea prin amestecarea în arborii de dependențe normali.
Această instantanee săptămânală face parte din Malicious Code Digest, în cadrul căruia validăm noile amenințări și oferim informații utile pentru a ajuta echipele DevSecOps să își protejeze... pipelineînainte de a se produce daune. Să analizăm ce am descoperit săptămâna aceasta și de ce este important.
Nu lăsați campaniile coordonate să ajungă la dvs. Pipelines
Rezumatul acestei săptămâni nu a fost despre o singură amenințare; a fost despre scară. Peste 200 de pachete confirmate, inundații susținute de versiuni pe parcursul mai multor zile și campanii de înregistrare în bloc cu script care rulează mai repede decât pot urmări recenziile manuale. Atacatorii nu așteaptă să vă recuperați.
Detectarea timpurie a programelor malware Xygeni monitorizează continuu npm, PyPI și alte registre, semnalând amenințările în momentul publicării, nu după ce au ajuns într-o versiune compilată. Când o campanie publică 21 de versiuni ale aceluiași pachet malițios pe parcursul a patru zile, o scanare săptămânală nu detectează nimic la timp.
Xygeni Open Source Security Soluția oferă echipelor DevSecOps vizibilitatea și prioritizarea în timp real de care au nevoie pentru a se menține cu un pas înaintea acestui tip de presiune coordonată, astfel încât pipelineRămâneți curați fără a încetini echipele.




