Bawat linggo, ini-scan ng aming mga sistema ng pagtuklas ng malware ang libu-libong bago at na-update na mga pakete sa mga pampublikong rehistro tulad ng npm at PyPI. Hindi naiiba ang linggong ito.
Nakumpirma namin ang mahigit 200 malisyosong pakete sa pagitan ng Hunyo 12 at Hunyo 19, 2026, pangunahin sa npm, na may karagdagang mga kaso sa PyPI. Marami ang lumitaw sa mga coordinated cluster, paulit-ulit na malisyosong paglabas na inilathala sa ilalim ng parehong pangalan o sa mga malapit na kaugnay na pamilya ng pakete.
Ang nangungunang kaso ngayong linggo ay sensivity, na bumaha sa npm ng mahigit 70 bersyong may bersyon sa hanay na 2.5.x, na nakumpirma sa loob ng maraming araw. Kasama sa iba pang kapansin-pansing kumpol ang isang alon ng @solana-labs mga typosquat na tumatarget sa ecosystem ng Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — sa dalawang magkahiwalay na kampanya sa paglalathala noong Hunyo 7 at Hunyo 8), ang @nstrlabs pamilya (sdk, ixel, utils, shared-components, api-client, auth — pag-atake ng pagkalito sa dependency laban sa isang panloob na namespace ng pakete), ang @klapp-login-platform grupo (native-sdk, oidc, routes — pagpapanggap bilang isang plataporma ng pagpapatotoo), internallib_v557 at internallib_v984 (maraming bersyon ng mga nalilitong impostor sa loob ng aklatan), pocteszep (6 na bersyon ang inilathala noong Hunyo 11), at isang kumpol ng mga crypto at Web3 utilities kabilang ang blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, at farming-tools-12. ang morningstar-design-system Ang pakete ay lumabas sa tatlong bersyon noong Hunyo 10, na nagpapanggap bilang isang kilalang sistema ng disenyo sa pananalapi.
Mula Hunyo 13 pataas, bumilis ang takbo. houzidawang806 Ang kumpol pa lamang ay nakapagtala na ng mahigit 25 bersyong nailathala sa isang araw, kasama ang magkakapatid houzidawang807 at houzidawang808. ang metrics-pipeline-d8k2 Ang pakete ay patuloy na muling inilathala sa 21 bersyon sa pagitan ng Hunyo 15 at Hunyo 18 — isang patuloy na kampanya ng pag-iwas na idinisenyo upang manatiling nangunguna sa mga blocklist. Ang friendly-greeter-demo Patuloy na lumilitaw ang pakete sa iba't ibang bersyon sa buong linggo. Lumitaw ang mga bagong pagtatangka ng pagkalito sa dependency sa ilalim ng xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, at ilan pang iba — lahat ay may dalang mga pinalaking numero ng bersyon sa hanay na 999.x. Isang bagong kumpol ng mga generic na pangalan ng utility na may mga random na hex suffix (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) ay lumabas noong Hunyo 18–19, alinsunod sa nakasaad na maramihang pagpaparehistro. Nagtapos ang linggo sa trimprompt, trimprompt-hub, claude-cup, at web3-crypto-address-utils nakumpirma noong Hunyo 19. Sa PyPI, neuralbridge-sdk (limang bersyon sa 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1, at aiaddin-agent ay nakumpirma sa buong linggo.
Hindi ito mga nakahiwalay na anomalya. Ang kapansin-pansin ngayong linggo ay ang konsentrasyon ng mga dependency confusion attack laban sa mga internal package namespace, ang patuloy na mga multi-day publishing campaign na idinisenyo upang malagpasan ang mga takedown, ang patuloy na pag-target sa Web3 at DeFi tooling (isang pattern na bumilis nang malaki noong 2026), at ang lumalaking paggamit ng mga generic, noise-like na pangalan ng package na ginawa upang maiwasan ang pagtuklas sa pamamagitan ng pagsasama sa mga normal na dependency tree.
Ang lingguhang snapshot na ito ay bahagi ng aming patuloy na Malicious Code Digest, kung saan pinapatunayan namin ang mga bagong banta at nagbibigay ng naaaksyunang impormasyon upang matulungan ang mga DevSecOps team na protektahan ang kanilang mga... pipelinebago mangyari ang pinsala. Suriin natin ang ating natuklasan ngayong linggo at kung bakit ito mahalaga.
Huwag Hayaang Makarating sa Iyo ang mga Coordinated Campaign Pipelines
Ang buod ngayong linggo ay hindi tungkol sa iisang banta; ito ay tungkol sa laki. Mahigit 200 kumpirmadong pakete, patuloy na pagdagsa ng bersyon sa loob ng maraming araw, at mga naka-script na kampanya sa maramihang pagpaparehistro na mas mabilis na tumatakbo kaysa sa kayang subaybayan ng mga manu-manong pagsusuri. Hindi naghihintay ang mga umaatake na mahabol ka.
Maagang Pagtuklas ng Malware ng Xygeni Patuloy na minomonitor ng npm, PyPI, at iba pang mga registry, na minamarkahan ang mga banta sa oras ng paglalathala, hindi pagkatapos na mapunta ang mga ito sa isang build. Kapag ang isang campaign ay naglathala ng 21 bersyon ng parehong malisyosong package sa loob ng apat na araw, walang nahuhuli sa tamang oras ang isang lingguhang scan.
Xygeni's Open Source Security Ang solusyon ay nagbibigay sa iyong mga DevSecOps team ng real-time na visibility at prioritization na kailangan nila upang manatiling nangunguna sa eksaktong ganitong uri ng coordinated pressure, para ang iyong pipelineManatiling malinis nang hindi pinapabagal ang iyong mga koponan.




