Кожного тижня, наші системи виявлення шкідливого програмного забезпечення сканують тисячі нових та оновлених пакетів у публічних реєстрах, таких як npm та PyPI. Цей тиждень не став винятком.
Ми підтвердили понад 200 шкідливих пакетів між 12 та 19 червня 2026 року, переважно в npm, а також додаткові випадки в PyPI. Кілька з них з'являлися в скоординованих кластерах, повторних шкідливих релізах, опублікованих під однаковими назвами або в тісно пов'язаних сімействах пакетів.
Найяскравішим випадком цього тижня був sensivity, який завалив npm понад 70 версіями релізів у діапазоні 2.5.x, що підтверджувалося протягом кількох днів. Інші помітні кластери включали хвилю @solana-labs типосквоти, спрямовані проти екосистеми Солани (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — у двох окремих видавничих кампаніях 7 та 8 червня), @nstrlabs сім'я (sdk, ixel, utils, shared-components, api-client, auth — атака на внутрішній простір імен пакета через плутанину залежностей), @klapp-login-platform група (native-sdk, oidc, routes — видаючи себе за платформу автентифікації), internallib_v557 та internallib_v984 (кілька версій обфускованих внутрішніх бібліотечних самозванців), pocteszep (6 версій, опублікованих 11 червня), а також кластер крипто- та Web3-утиліт, включаючи blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87 та farming-tools-12, morningstar-design-system Пакет з'явився у трьох версіях 10 червня, видаючи себе за відому систему фінансового дизайну.
З 13 червня темпи прискорилися. houzidawang806 лише кластер становив понад 25 версій, опублікованих за один день, до яких приєдналися інші, що й інші houzidawang807 та houzidawang808, metrics-pipeline-d8k2 Пакет безперервно перевидавався у 21 версії між 15 червня та 18 червня — це була тривала кампанія ухилення, спрямована на те, щоб залишатися попереду блок-листів. friendly-greeter-demo Пакет постійно з'являвся в різних версіях протягом тижня. Нові спроби плутанини із залежностями з'явилися під xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, та кілька інших — усі з завищеними номерами версій у діапазоні 999.x. Новий кластер загальних назв утиліт із випадковими шістнадцятковими суфіксами (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) з'явився 18–19 червня, що відповідає сценарійній масовій реєстрації. Тиждень завершився з trimprompt, trimprompt-hub, claude-cup та web3-crypto-address-utils підтверджено 19 червня. У PyPI, neuralbridge-sdk (п'ять версій для версій 4.5.x–5.1.x), deepstrain, teambot-ai, hello-test-s1 та aiaddin-agent були підтверджені протягом тижня.
Це не були поодинокі аномалії. Цього тижня впадала в око концентрація атак на внутрішні простори імен пакетів, спрямованих на плутанину залежностей, тривалі багатоденні публікаційні кампанії, спрямовані на пережиття блокувань, постійне націлювання на інструменти Web3 та DeFi (модель, яка значно посилилась у 2026 році), а також зростаюче використання загальних, шумоподібних імен пакетів, розроблених для уникнення виявлення шляхом поєднання зі звичайними деревами залежностей.
Цей щотижневий огляд є частиною нашого постійного огляду шкідливого коду, де ми перевіряємо нові загрози та надаємо практичну інформацію, щоб допомогти командам DevSecOps захистити свої pipelineдо того, як виникне пошкодження. Давайте розглянемо, що ми виявили цього тижня, і чому це важливо.
Не дозволяйте скоординованим кампаніям досягти вашого Pipelines
У цьому тижневому огляді йшлося не про одну загрозу, а про масштаб. Понад 200 підтверджених пакетів, постійне затоплення версій протягом кількох днів та сценарні кампанії масової реєстрації, що працюють швидше, ніж можуть відстежити ручні перевірки. Зловмисники не чекають, поки ви їх наздоженете.
Раннє виявлення шкідливого програмного забезпечення Xygeni безперервно моніторить npm, PyPI та інші реєстри, позначаючи загрози в момент публікації, а не після того, як вони потрапили в збірку. Коли кампанія публікує 21 версію одного й того ж шкідливого пакета протягом чотирьох днів, щотижневе сканування нічого вчасно не виявляє.
Ксігені Open Source Security Рішення надає вашим командам DevSecOps видимість у режимі реального часу та пріоритети, необхідні для того, щоб випереджати саме такий скоординований тиск, тому ваші pipelineзалишайтеся чистими, не уповільнюючи роботу ваших команд.




