Skadlig kodsammanfattning 75

Xygeni Skadlig Kodsammanfattning 75

Varje vecka, våra system för att upptäcka skadlig kod skannar tusentals nya och uppdaterade paket i offentliga register som npm och PyPI. Den här veckan var inget undantag.

Vi bekräftade över 200 skadliga paket mellan 12 juni och 19 juni 2026, främst inom npm, med ytterligare fall i PyPI. Flera förekom i koordinerade kluster, upprepade skadliga utgåvor publicerade under samma namn eller inom närbesläktade paketfamiljer.

Det mest framträdande fallet den här veckan var sensivity, som översvämmade npm med över 70 versionsutgåvor över 2.5.x-serien, bekräftade under flera dagar. Andra anmärkningsvärda kluster inkluderade en våg av @solana-labs typosquats riktade mot Solana-ekosystemet (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — över två separata publiceringskampanjer den 7 juni och 8 juni), den @nstrlabs familj (sdk, ixel, utils, shared-components, api-client, auth — beroendeförvirringsattack mot ett internt paketnamnrymd), @klapp-login-platform gruppen (native-sdk, oidc, routes — utge sig för att vara en autentiseringsplattform), internallib_v557 och internallib_v984 (flera versioner av obfuskerade interna biblioteksbedragare), pocteszep (6 versioner publicerade den 11 juni), och ett kluster av krypto- och Web3-verktyg inklusive blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87och farming-tools-12. De morningstar-design-system Paketet dök upp i tre versioner den 10 juni och imiterade ett välkänt finansiellt designsystem.

Från och med den 13 juni ökade takten. houzidawang806 ensamt klustret stod för över 25 versioner som publicerades på en enda dag, tillsammans med syskon houzidawang807 och houzidawang808. De metrics-pipeline-d8k2 paketet publicerades kontinuerligt i 21 versioner mellan 15 juni och 18 juni – en ihållande undanflyktskampanj utformad för att ligga steget före blocklistorna. friendly-greeter-demo Paketet fortsatte att dyka upp igen i olika versioner under veckan. Nya försök till beroendeförvirring dök upp under xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, och flera andra — alla med uppblåsta versionsnummer i 999.x-intervallet. Ett nytt kluster av generiska verktygsnamn med slumpmässiga hexadecimalsuffix (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) dök upp den 18–19 juni, i linje med skriptbaserad massregistrering. Veckan avslutades med trimprompt, trimprompt-hub, claude-cupoch web3-crypto-address-utils bekräftad den 19 juni. I PyPI, neuralbridge-sdk (fem versioner över 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1och aiaddin-agent bekräftades under veckan.

Dessa var inte isolerade avvikelser. Det som stack ut den här veckan var koncentrationen av beroendeförvirringsattacker mot interna paketnamnrymder, de ihållande flerdagars publiceringskampanjerna som utformats för att överleva nedtagningar, den fortsatta inriktningen på Web3- och DeFi-verktyg (ett mönster som har accelererat avsevärt under 2026), och en växande användning av generiska, brusliknande paketnamn som är konstruerade för att undvika upptäckt genom att blandas in i normala beroendeträd.

Denna veckovisa ögonblicksbild är en del av vår pågående sammanfattning av skadlig kod, där vi validerar nya hot och tillhandahåller handlingsbar information för att hjälpa DevSecOps-team att skydda sina pipelineinnan skada uppstår. Låt oss gå igenom vad vi hittade den här veckan och varför det är viktigt.

Ekosystem Paket Bekräftat
npmecto-corsair-whisper-6f3b9:1.0.18Juni 12, 2026
npmecto-corsair-whisper-6f3b9:1.0.17Juni 12, 2026
npmecto-nightly-spirit:1.1.0Juni 12, 2026
npmecto-corsair-flag-x9m4:1.0.0Juni 12, 2026
npmecto-rust-read-f3a9c1:1.0.2Juni 12, 2026
npmecto-corsair-whisper-6f3b9:1.0.16Juni 12, 2026
npmecto-rust-read-f3a9c1:1.0.1Juni 12, 2026
npmecto-corsair-whisper-6f3b9:1.0.15Juni 12, 2026
npmecto-corsair-whisper-6f3b9:1.0.14Juni 12, 2026
npminternallib_v984:1.0.3Juni 15, 2026
npminternallib_v984:1.0.4Juni 15, 2026
npminternallib_v984:1.0.2Juni 15, 2026
npminternallib_v557:1.0.4Juni 15, 2026
npminternallib_v557:1.0.7Juni 15, 2026
npminternallib_v557:1.0.9Juni 15, 2026
npminternallib_v557:1.0.10Juni 15, 2026
npminternallib_v557:1.0.15Juni 15, 2026
npminternallib_v557:1.0.16Juni 15, 2026
npminternallib_v557:1.0.18Juni 15, 2026
npmcoral-wraith:1.0.0Juni 12, 2026
npminternallib_v557:1.0.21Juni 15, 2026
npminternallib_v557:1.0.22Juni 15, 2026
npmnpm-sandbox-research-d7e8:1.0.0Juni 18, 2026
npmnpm-sandbox-research-a1b2:1.0.0Juni 18, 2026
npmnpm-sandbox-research-c5d6:1.0.0Juni 18, 2026
npmnpm-sandbox-research-9c4e:1.0.0Juni 18, 2026
npmnpm-sandbox-research-8b2f:1.0.0Juni 18, 2026
npmnpm-sandbox-research-e9f0:1.0.0Juni 18, 2026
npmnpm-sandbox-research-f1g2:1.0.0Juni 18, 2026
npmtsc-nät:1.0.0Juni 13, 2026
npmvänlig-välkomst-demo:1.0.6Juni 13, 2026
npmvänlig-välkomst-demo:1.0.4Juni 13, 2026
npmvänlig-välkomst-demo:1.0.3Juni 13, 2026
npmvänlig-välkomst-demo:1.0.2Juni 13, 2026
npmvänlig-välkomst-demo:1.0.9Juni 13, 2026
npmtsc-ai:1.2.1Juni 13, 2026
npmtsc-lotl:1.0.2Juni 13, 2026
npmtsc-nät:1.0.1Juni 13, 2026
npmtsc-ai:1.2.0Juni 13, 2026
pypineuralbridge-sdk:4.5.4Juni 13, 2026
npmnpm-sandbox-research-g3h4:1.0.0Juni 18, 2026
npmpostinstall-logger-7x9z:1.0.0Juni 18, 2026
npmhouzidawang806:1.0.0Juni 13, 2026
pypineuralbridge-sdk:5.0.0Juni 13, 2026
pypineuralbridge-sdk:4.5.5Juni 13, 2026
npmhouzidawang806:1.0.1Juni 13, 2026
npmhouzidawang806:1.0.2Juni 13, 2026
npmhouzidawang806:1.0.3Juni 13, 2026
npmhouzidawang806:1.0.4Juni 13, 2026
npmhouzidawang806:1.0.5Juni 13, 2026
npmhouzidawang806:1.0.6Juni 13, 2026
npmhouzidawang806:1.0.7Juni 13, 2026
npmhouzidawang806:1.0.9Juni 13, 2026
npmhouzidawang806:1.1.0Juni 13, 2026
npmhouzidawang806:1.1.1Juni 13, 2026
npmhouzidawang806:1.1.2Juni 13, 2026
npmhouzidawang806:1.1.3Juni 13, 2026
npmhouzidawang806:1.1.4Juni 13, 2026
npmhouzidawang806:1.1.5Juni 13, 2026
pypineuralbridge-sdk:5.1.0Juni 13, 2026
npmhouzidawang807:1.1.6Juni 13, 2026
npmhouzidawang806:1.1.6Juni 13, 2026
npmhouzidawang808:1.0.0Juni 13, 2026
npmhouzidawang806:1.1.7Juni 13, 2026
npmhouzidawang806:1.1.8Juni 13, 2026
npmhouzidawang806:1.2.0Juni 13, 2026
pypineuralbridge-sdk:5.1.1Juni 13, 2026
npmhouzidawang806:1.2.1Juni 13, 2026
npmhouzidawang806:1.2.3Juni 13, 2026
npmhouzidawang806:1.2.4Juni 13, 2026
npmhouzidawang806:1.2.5Juni 13, 2026
npmhouzidawang806:1.2.6Juni 13, 2026
pypineuralbridge-sdk:5.1.2Juni 13, 2026
pypidjupspänning: 1.1.0Juni 13, 2026
npm@jisan901/teamfokus:1.0.3Juni 13, 2026
npmxy-delad:999.0.0Juni 14, 2026
npmaxl-ui:9.9.99Juni 14, 2026
npmloadninja-shared:9.9.99Juni 14, 2026
npmnpx-whoami-demo:1.0.0Juni 14, 2026
npm@jisan901/teamfokus:1.0.4Juni 14, 2026
npmnano-perf:1.0.1Juni 14, 2026
npmtn-annons:5.0.1Juni 14, 2026
npmkijai:0.0.2Juni 15, 2026
npmtoken-priser-cron:999.0.0Juni 15, 2026
npmhemi-supply-cron:999.0.0Juni 15, 2026
npmportal-backend:999.0.0Juni 15, 2026
npmvalvstrategier: 999.0.0Juni 15, 2026
npmhemi-earn-actions:999.0.0Juni 15, 2026
npmvalv-monitor-cron:999.0.0Juni 15, 2026
npmve-hemi-belöningar:999.0.0Juni 15, 2026
npmnic-datagov:1.0.0Juni 16, 2026
npmogd-analys:1.0.0Juni 16, 2026
npmogd-plattform:1.0.0Juni 16, 2026
npmdms-backend:1.0.0Juni 16, 2026
npmvänlig-välkomst-demo:1.0.10Juni 16, 2026
npmvänlig-välkomst-demo:1.0.11Juni 16, 2026
npmcardano-adresser-dokument:1.0.1Juni 16, 2026
npmbodega-sdk:9.9.9Juni 16, 2026
npmflow-lending-sdk:9.9.9Juni 16, 2026
npmflödesutlåning: 9.9.9Juni 16, 2026
npmsurfutlåning: 9.9.9Juni 16, 2026
npmjanus-ft:1.0.0Juni 16, 2026
npmjanus-flöde:1.0.0Juni 16, 2026
npmjanus-erc20:1.0.0Juni 16, 2026
npmflödecardano:9.9.9Juni 16, 2026
npmflödesdefi:9.9.9Juni 16, 2026
pypihej-test-s1:0.3.1Juni 16, 2026
npmpkg-telemetri-r4f9:1.0.0Juni 18, 2026
npme-postbekräftare: 3.3.46Juni 16, 2026
npmkarusell-kontroller-mixin: 999.0.0Juni 16, 2026
npmruntime-metrics-w7k2:1.0.0Juni 18, 2026
npme-postbekräftare: 3.3.48Juni 16, 2026
npmbuild-tracker-n5p1:1.0.0Juni 16, 2026
npmnpm-sandbox-ping-r9t2:1.0.0Juni 18, 2026
npmhändelse-metriker-q3x7:1.0.2Juni 16, 2026
npmhändelse-metriker-q3x7:1.0.1Juni 16, 2026
npmhändelse-metriker-q3x7:1.0.0Juni 16, 2026
npmhändelse-metriker-q3x7:1.0.3Juni 16, 2026
npmhändelse-metriker-q3x7:1.0.4Juni 16, 2026
npmhändelse-metriker-q3x7:1.0.5Juni 16, 2026
npmhändelse-metriker-q3x7:1.0.6Juni 16, 2026
npmhändelse-metriker-q3x7:1.0.7Juni 16, 2026
npmhändelse-metriker-q3x7:1.0.8Juni 16, 2026
npmmetrik-pipeline-d8k2:1.0.0Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.1Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.2Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.3Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.4Juni 18, 2026
pypiteambot-ai:1.48.0Juni 17, 2026
npmmetrik-pipeline-d8k2:1.0.5Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.6Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.7Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.8Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.9Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.10Juni 18, 2026
npmvänlig-välkomst-demo:1.0.13Juni 17, 2026
npmvänlig-välkomst-demo:1.0.14Juni 17, 2026
npmmetrik-pipeline-d8k2:1.0.11Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.12Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.13Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.14Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.15Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.16Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.17Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.18Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.19Juni 18, 2026
npmmetrik-pipeline-d8k2:1.0.20Juni 18, 2026
npmkryptodao-kontrakt: 99.99.99Juni 17, 2026
npmkryptodao-typer: 99.99.99Juni 17, 2026
npmcryptodao-konfiguration: 99.99.99Juni 17, 2026
npmcryptodao-utils:99.99.99Juni 17, 2026
npmcryptodao-backend:99.99.99Juni 17, 2026
npmcryptodao-sdk:99.99.99Juni 17, 2026
npmcryptodao-core:99.99.99Juni 17, 2026
npmcryptodao-bot:99.99.99Juni 17, 2026
npmkryptodao-signerare: 99.99.99Juni 17, 2026
npmcryptodao-distribution:99.99.99Juni 17, 2026
npmmetrics-probe-64b2:1.0.0Juni 18, 2026
npmmetrics-probe-dc85:1.0.0Juni 18, 2026
npmmetrics-probe-77d4:1.0.0Juni 18, 2026
npm@public-for-cdao/core:99.99.99Juni 17, 2026
npmmetrics-probe-88ad:1.0.0Juni 18, 2026
npmwrspati:0.1.0Juni 18, 2026
npmebpf-tracker-action:1.0.1Juni 18, 2026
npm@azure-lab-services/ml-ts:99.0.0Juni 18, 2026
npmlabtjänster: 99.0.0Juni 18, 2026
npmendast skanning: 0.4.5Juni 18, 2026
npmendast skanning: 0.4.6Juni 18, 2026
npmendast skanning: 0.4.7Juni 18, 2026
npmendast skanning: 0.4.8Juni 18, 2026
npm@muaththir/api:2.0.0Juni 18, 2026
npmbackoffice-charges-module:2.999.1Juni 18, 2026
npmbackoffice-charges-module:2.999.0Juni 18, 2026
npmendast skanning: 0.4.9Juni 18, 2026
npmendast skanning: 0.5.0Juni 18, 2026
npmendast skanning: 0.5.1Juni 18, 2026
npmendast skanning: 1.0.0Juni 18, 2026
npmnano-perf:2.0.0Juni 18, 2026
npmnano-perf:2.0.1Juni 18, 2026
npmnano-perf:2.1.0Juni 18, 2026
npmnano-perf:2.2.0Juni 18, 2026
npmmetrics-probe-f256:1.0.0Juni 18, 2026
npmcolor-utils-dee0:1.0.0Juni 18, 2026
npmdata-utils-d703:1.0.0Juni 18, 2026
npmsträngverktyg-be6c:1.0.0Juni 18, 2026
npmtyp-kontroll-816d:1.0.0Juni 18, 2026
npmfmt-hjälpare-794b:1.0.0Juni 18, 2026
npmdatacamp-light:1.0.0Juni 18, 2026
npmdata-utils-bcf2:1.0.0Juni 19, 2026
npmstream-read-35cf:1.0.0Juni 19, 2026
npmdelta-tid-32bb:1.0.0Juni 19, 2026
npmsafe-json-38bd:1.0.0Juni 19, 2026
npmhex-conv-ae7a:1.0.0Juni 19, 2026
npmbuffer-wrap-67d7:1.0.0Juni 19, 2026
npmtrimprompt:1.0.2Juni 19, 2026
npmtrimprompt:1.0.4Juni 19, 2026
npmtrimprompt-hub:1.0.1Juni 19, 2026
npmclaude-cup:0.8.6Juni 19, 2026
pypiaiaddin-agent:0.1.0Juni 19, 2026
npmweb3-kryptoadress-verktyg: 0.1.0Juni 19, 2026

Låt inte samordnade kampanjer nå dig Pipelines

Den här veckans sammanfattning handlade inte om ett enskilt hot; den handlade om skala. Över 200 bekräftade paket, ihållande versionsöversvämningar under flera dagar och skriptade massregistreringskampanjer som körs snabbare än manuella granskningar kan spåra. Angriparna väntar inte på att du ska komma ikapp.

Xygeni tidig upptäckt av skadlig kod övervakar npm, PyPI och andra register kontinuerligt och flaggar hot vid publiceringsögonblicket, inte efter att de har hamnat i en build. När en kampanj publicerar 21 versioner av samma skadliga paket under fyra dagar, upptäcker en veckovis skanning ingenting i tid.

Xygenis Open Source Security lösningen ger dina DevSecOps-team den realtidsinsikt och prioritering de behöver för att ligga steget före just denna typ av koordinerad press, så att dina pipelines förblir rena utan att sakta ner dina lag.

sca-tools-programvara-verktyg-för-kompositionsanalys
Prioritera, åtgärda och säkra dina programvarurisker
Skaffa ditt gratiskonto.
Inga kreditkort krävs.

Säkra din programvaruutveckling och leverans

med Xygeni-produktsviten