Збірник шкідливого коду 74

Дайджест шкідливого коду Xygeni 74

Майже щотижня, наші системи виявлення шкідливого програмного забезпечення сканують тисячі нових та оновлених пакетів у публічних реєстрах, таких як npm та PyPI. Цей тиждень не став винятком.

We confirmed over 130 malicious packages between June 7 and June 12, 2026, predominantly across npm, with additional cases in PyPI. Several appeared in coordinated clusters, repeated malicious releases published under the same names or across closely related package families.

Найяскравішим випадком цього тижня був sensivity, який завалив npm понад 40 версіями релізів у діапазоні 2.5.x, що підтверджувалося протягом кількох днів. Інші помітні кластери включали хвилю @solana-labs typosquats targeting the Solana ecosystem (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — across two separate publishing campaigns on Jun 7 and Jun 8), the @nstrlabs family (sdk, ixel, utils, shared-components, api-client, auth — dependency confusion attack against an internal package namespace), the @klapp-login-platform group (native-sdk, oidc, routes — impersonating an authentication platform), internallib_v557 та internallib_v984 (кілька версій обфускованих внутрішніх бібліотечних самозванців), pocteszep (6 версій, опублікованих 11 червня), а також кластер крипто- та Web3-утиліт, включаючи blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87 та farming-tools-12, morningstar-design-system package appeared in three versions on Jun 10, impersonating a well-known financial design system. In PyPI, helixagentai, telegramlite та cdjeez були підтверджені протягом тижня.

These were not isolated anomalies. What stood out this week was the concentration of dependency confusion attacks against internal package namespaces, the sustained multi-day publishing of the sensivity cluster, and the continued targeting of Web3 and Solana tooling, a pattern that has accelerated significantly in 2026.

Цей щотижневий огляд є частиною нашого постійного огляду шкідливого коду, де ми перевіряємо нові загрози та надаємо практичну інформацію, щоб допомогти командам DevSecOps захистити свої pipelineдо того, як виникне пошкодження.

Давайте розглянемо, що ми знайшли цього тижня, і чому це важливо.

Екосистема пакет Дата
нммkraken-ui:999.0.0Червень 7, 2026
нмм@sflyinc-knapsack/shutterfly-react:999.0.0Червень 7, 2026
нммhehehee:1.0.9Червень 7, 2026
нммleaflet-opencage-geocoding:1.0.0Червень 7, 2026
нмм@solana-labs/web3.js:1.0.0Червень 7, 2026
нмм@solana-labs/web3-js:1.0.0Червень 7, 2026
нмм@solana-labs/spl-toke:1.0.0Червень 7, 2026
нмм@solana-labs/web3js:1.0.0Червень 7, 2026
нмм@solana-labs/etherjs:1.0.0Червень 7, 2026
нмм@solana-labs/ancor:1.0.0Червень 7, 2026
нмм@solana-labs/ancor:1.0.1Червень 7, 2026
нмм@jisan901/teamfocus:1.0.0Червень 7, 2026
нмм@jisan901/teamfocus:1.0.1Червень 7, 2026
нмм@jisan901/teamfocus:1.0.2Червень 7, 2026
нммconsumerweb-authflow:4.1.1Червень 8, 2026
нммconsumerweb-authflow:4.1.3Червень 8, 2026
нммhehehee:1.0.10Червень 8, 2026
пайпіспіральний агент:0.1.3Червень 8, 2026
нмм@solana-labs/web3.js:1.98.102Червень 8, 2026
нмм@solana-labs/web3-js:1.98.103Червень 8, 2026
нмм@solana-labs/etherjs:1.98.103Червень 8, 2026
нмм@solana-labs/spl-toke:1.98.103Червень 8, 2026
нмм@solana-labs/ancor:1.98.103Червень 8, 2026
нмм@solana-labs/web3js:1.98.103Червень 8, 2026
нмм@solana-labs/web3.js:1.98.104Червень 8, 2026
нмм@solana-labs/web3js:1.98.105Червень 8, 2026
нмм@solana-labs/web3-js:1.98.105Червень 8, 2026
нмм@solana-labs/spl-toke:1.98.105Червень 8, 2026
нмм@solana-labs/etherjs:1.98.105Червень 8, 2026
нмм@solana-labs/ancor:1.98.105Червень 8, 2026
нмм@nstrlabs/sdk:99.0.0Червень 9, 2026
нмм@nstrlabs/sdk:99.0.1Червень 9, 2026
нмм@nstrlabs/ixel:99.0.0Червень 9, 2026
нмм@nstrlabs/ixel:99.0.1Червень 9, 2026
нмм@klapp-login-платформа/нативний-sdk:99.0.2Червень 9, 2026
нмм@klapp-login-platform/oidc:99.0.2Червень 9, 2026
нмм@klapp-login-платформа/нативний-sdk:99.0.0Червень 9, 2026
нмм@klapp-login-platform/oidc:99.0.0Червень 9, 2026
нмм@klapp-login-platform/routes:99.0.0Червень 9, 2026
нмм@klapp-login-platform/routes:99.0.2Червень 9, 2026
нмм@listings/energy-labels:99.0.0Червень 9, 2026
нмм@listings/energy-labels:99.0.1Червень 9, 2026
нмм@zimmo/last_search:99.0.1Червень 9, 2026
нмм@zimmo/last_search:99.0.0Червень 9, 2026
нмм@nstrlabs/utils:99.0.1Червень 9, 2026
нмм@nstrlabs/utils:99.0.0Червень 9, 2026
нмм@nstrlabs/shared-components:99.0.0Червень 9, 2026
нмм@nstrlabs/shared-components:99.0.1Червень 9, 2026
нмм@nstrlabs/api-client:99.0.1Червень 9, 2026
нмм@nstrlabs/auth:99.0.1Червень 9, 2026
нмм@nstrlabs/auth:99.0.0Червень 9, 2026
нмм@nstrlabs/api-client:99.0.0Червень 9, 2026
нмм@payment-review/store:99.0.1Червень 9, 2026
нмм@payment-review/store:99.0.0Червень 9, 2026
нмм@klapp-otp/routes:99.0.1Червень 9, 2026
нмм@klapp-otp/routes:99.0.0Червень 9, 2026
нмм@klapp-kyc/routes:99.0.0Червень 9, 2026
нмм@klapp-kyc/routes:99.0.1Червень 9, 2026
нмм@klapp-sca/routes:99.0.0Червень 9, 2026
нмм@klapp-sca/routes:99.0.1Червень 9, 2026
нмм@card-pci-data/store:99.0.0Червень 9, 2026
нмм@card-pci-data/store:99.0.1Червень 9, 2026
нмм@klapp-about/routes:99.0.1Червень 9, 2026
нмм@klapp-about/routes:99.0.2Червень 9, 2026
нмм@klapp-about/routes:99.0.0Червень 9, 2026
нммблокчейн-помічник-0:1.0.0Червень 9, 2026
нммcrypto-utils-7:1.0.0Червень 9, 2026
нммethereum-kit-1:1.0.0Червень 9, 2026
нммweb3-tools-9:1.0.0Червень 9, 2026
нммonlinegdb:1.0.0Червень 9, 2026
нммsolana-core-4:1.0.0Червень 9, 2026
нммethereum-kit-9:1.25.36Червень 9, 2026
нммwallet-sdk-9:3.7.73Червень 9, 2026
нммdefi-tools-39:4.26.29Червень 9, 2026
нммswap-sdk-87:4.63.78Червень 9, 2026
нммfarming-tools-12:4.68.54Червень 9, 2026
нммСистема дизайну morningstar:99.0.0Червень 10, 2026
нммСистема дизайну morningstar:99.0.1Червень 10, 2026
нммСистема дизайну morningstar:99.0.2Червень 10, 2026
нммgoogle-cloud-secret-manager-config-poc:99.9.44Червень 11, 2026
пайпітелеграмлайт:1.0.0Червень 11, 2026
пайпітелеграмлайт:1.0.1Червень 11, 2026
нмм@access-risk/browser-remedy-react:99.1.1Червень 11, 2026
нмм@access-risk/browser-remedy-react:99.0.0Червень 11, 2026
нмм@coze-common/чат-область:99.1.1Червень 11, 2026
нммpocteszep:1.0.5Червень 11, 2026
нммpocteszep:1.0.4Червень 11, 2026
нммpocteszep:1.0.2Червень 11, 2026
нммpocteszep:1.0.1Червень 11, 2026
нммpocteszep:1.0.8Червень 11, 2026
нммpocteszep:1.1.1Червень 11, 2026
нммчутливість: 2.5.68Червень 11, 2026
нммчутливість: 2.5.67Червень 11, 2026
нммчутливість: 2.5.4Червень 11, 2026
нммчутливість: 2.5.58Червень 11, 2026
нммчутливість: 2.5.59Червень 11, 2026
нммчутливість: 2.5.66Червень 11, 2026
нммчутливість: 2.5.65Червень 11, 2026
нммчутливість: 2.5.2Червень 11, 2026
нммчутливість: 2.5.15Червень 11, 2026
нммчутливість: 2.5.5Червень 11, 2026
нммчутливість: 2.5.13Червень 11, 2026
нммчутливість: 2.5.1Червень 11, 2026
нммчутливість: 2.5.35Червень 11, 2026
нммчутливість: 2.5.38Червень 11, 2026
нммчутливість: 2.5.64Червень 11, 2026
нммчутливість: 2.5.14Червень 11, 2026
нммчутливість: 2.5.34Червень 11, 2026
нммчутливість: 2.5.60Червень 11, 2026
нммчутливість: 2.5.0Червень 11, 2026
нммчутливість: 2.5.33Червень 11, 2026
нммчутливість: 2.5.37Червень 11, 2026
нммчутливість: 2.5.3Червень 11, 2026
нммчутливість: 2.5.36Червень 11, 2026
нммчутливість: 2.5.63Червень 11, 2026
нммчутливість: 2.5.69Червень 11, 2026
нммчутливість: 2.5.62Червень 11, 2026
нмм@whatnot-web/www-legacy:99.1.2Червень 12, 2026
нмм@whatnot-web/www-legacy:99.1.1Червень 12, 2026
нммvoyager-web:999.0.0Червень 12, 2026
нммecto-corsair-whisper-6f3b9:1.0.18Червень 12, 2026
нммecto-corsair-whisper-6f3b9:1.0.17Червень 12, 2026
нммecto-nightly-spirit:1.1.0Червень 12, 2026
нммecto-corsair-flag-x9m4:1.0.0Червень 12, 2026
нммecto-rust-read-f3a9c1:1.0.2Червень 12, 2026
нммecto-corsair-whisper-6f3b9:1.0.16Червень 12, 2026
нммecto-rust-read-f3a9c1:1.0.1Червень 12, 2026
нммecto-corsair-whisper-6f3b9:1.0.15Червень 12, 2026
нммecto-corsair-whisper-6f3b9:1.0.14Червень 12, 2026
нммinternallib_v984:1.0.3Червень 12, 2026
нммinternallib_v984:1.0.4Червень 12, 2026
нммinternallib_v984:1.0.2Червень 12, 2026
нммinternallib_v557:1.0.4Червень 12, 2026
нммinternallib_v557:1.0.7Червень 12, 2026
нммinternallib_v557:1.0.9Червень 12, 2026
нммinternallib_v557:1.0.10Червень 12, 2026
нммinternallib_v557:1.0.15Червень 12, 2026
нммinternallib_v557:1.0.16Червень 12, 2026
нммinternallib_v557:1.0.18Червень 12, 2026
нммкораловий-привид:1.0.0Червень 12, 2026
нммinternallib_v557:1.0.21Червень 12, 2026
нммinternallib_v557:1.0.22Червень 12, 2026
пайпіcdjeez:0.32.0Червень 12, 2026

Don’t Let Malicious Packages Reach Production

The packages your teams depend on are increasingly being used as an entry point. Раннє виявлення шкідливого програмного забезпечення Xygeni monitors registries in real time, so threats like the ones in this week’s digest are blocked before they ever reach your builds.

This week’s findings are a reminder that the tactics are getting more deliberate. Version flooding, namespace impersonation, and multi-day coordinated campaigns are not edge cases anymore, they are standard attacker playbook. One-time scans and manual audits cannot keep pace with campaigns that publish dozens of versions across multiple days and registries simultaneously.

Ксігені Open Source Security solution gives your DevSecOps teams continuous visibility across npm, PyPI, and beyond,detecting harmful packages at the moment of publication, prioritizing what poses real exploitable risk, and shortening the path from detection to remediation. So your teams can ship fast without compromising on security.

інструменти-для-аналізу-складу-програмного-засобу-sca
Визначте пріоритети, усуньте та захистіть ризики, пов'язані з програмним забезпеченням
Отримайте свій безкоштовний обліковий запис.
Не потрібна кредитна картка.

Забезпечте розробку та доставку програмного забезпечення

з пакетом продуктів Xygeni