Nästan varje vecka, våra system för att upptäcka skadlig kod skannar tusentals nya och uppdaterade paket i offentliga register som npm och PyPI. Den här veckan var inget undantag.
Vi bekräftade över 130 skadliga paket mellan 7 och 12 juni 2026, främst inom npm, med ytterligare fall i PyPI. Flera förekom i koordinerade kluster, upprepade skadliga utgåvor publicerade under samma namn eller inom närbesläktade paketfamiljer.
Det mest framträdande fallet den här veckan var sensivity, som översvämmade npm med över 40 versionsutgåvor över 2.5.x-serien, bekräftade under flera dagar. Andra anmärkningsvärda kluster inkluderade en våg av @solana-labs typosquats riktade mot Solana-ekosystemet (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — över två separata publiceringskampanjer den 7 juni och 8 juni), @nstrlabs familj (sdk, ixel, utils, shared-components, api-client, auth — beroendeförvirringsattack mot ett internt paketnamnrymd), @klapp-login-platform grupp (native-sdk, oidc, routes — imiterar en autentiseringsplattform), internallib_v557 och internallib_v984 (flera versioner av obfuskerade interna biblioteksbedragare), pocteszep (6 versioner publicerade den 11 juni), och ett kluster av krypto- och Web3-verktyg inklusive blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87och farming-tools-12. De morningstar-design-system paketet dök upp i tre versioner den 10 juni och imiterade ett välkänt system för finansiell design. I PyPI, helixagentai, telegramliteoch cdjeez bekräftades under veckan.
Dessa var inte isolerade avvikelser. Det som stack ut den här veckan var koncentrationen av attacker mot beroendeförvirring mot interna paketnamnrymder, den ihållande flerdagarspubliceringen av sensivity kluster, och den fortsatta inriktningen på Web3- och Solana-verktyg, ett mönster som har accelererat avsevärt under 2026.
Denna veckovisa ögonblicksbild är en del av vår pågående sammanfattning av skadlig kod, där vi validerar nya hot och tillhandahåller handlingsbar information för att hjälpa DevSecOps-team att skydda sina pipelineinnan skada uppstår.
Låt oss gå igenom vad vi hittade den här veckan och varför det är viktigt.
Låt inte skadliga paket nå produktionen
De paket som era team är beroende av används i allt högre grad som en ingångspunkt. Xygeni tidig upptäckt av skadlig kod övervakar register i realtid, så hot som de i den här veckans sammanfattning blockeras innan de når dina versioner.
Den här veckans resultat är en påminnelse om att taktiken blir mer avsiktlig. Versionsöversvämning, namnrymdsimitation och flerdagars koordinerade kampanjer är inte längre marginalfall, de är standard angriparens handbok. Engångsskanningar och manuella granskningar kan inte hålla jämna steg med kampanjer som publicerar dussintals versioner över flera dagar och register samtidigt.
Xygenis Open Source Security Lösningen ger dina DevSecOps-team kontinuerlig insyn i npm, PyPI och mer därtill, och upptäcker skadliga paket vid publiceringsögonblicket, prioriterar det som utgör en verklig exploaterbar risk och förkortar vägen från upptäckt till åtgärd. Så att dina team kan leverera snabbt utan att kompromissa med säkerheten.




