Mỗi tuầnHệ thống phát hiện phần mềm độc hại của chúng tôi quét hàng nghìn gói phần mềm mới và được cập nhật trên các kho lưu trữ công cộng như npm và PyPI. Tuần này cũng không ngoại lệ.
Chúng tôi đã xác nhận hơn 200 gói phần mềm độc hại trong khoảng thời gian từ ngày 12 đến ngày 19 tháng 6 năm 2026, chủ yếu trên npm, và một số trường hợp khác trên PyPI. Một số xuất hiện trong các cụm phối hợp, các bản phát hành độc hại lặp lại được công bố dưới cùng tên hoặc trên các họ gói phần mềm có liên quan chặt chẽ.
Vụ án nổi bật nhất tuần này là sensivityĐiều này đã làm ngập npm với hơn 70 bản phát hành có phiên bản khác nhau trong phạm vi 2.5.x, được xác nhận trong nhiều ngày. Các cụm đáng chú ý khác bao gồm một làn sóng... @solana-labs các phần mềm giả mạo nhắm mục tiêu vào hệ sinh thái Solana (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — thông qua hai chiến dịch xuất bản riêng biệt vào ngày 7 và 8 tháng 6), @nstrlabs gia đình (sdk, ixel, utils, shared-components, api-client, auth — tấn công gây nhầm lẫn phụ thuộc vào không gian tên gói nội bộ), @klapp-login-platform nhóm (native-sdk, oidc, routes — giả mạo nền tảng xác thực), internallib_v557 và internallib_v984 (nhiều phiên bản khác nhau của các phần mềm giả mạo thư viện nội bộ đã được mã hóa), pocteszep (6 phiên bản được xuất bản vào ngày 11 tháng 6), và một nhóm các tiện ích mã hóa và Web3 bao gồm blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87và farming-tools-12. Các morningstar-design-system Gói phần mềm này xuất hiện với ba phiên bản vào ngày 10 tháng 6, giả mạo một hệ thống thiết kế tài chính nổi tiếng.
Từ ngày 13 tháng 6 trở đi, tốc độ tăng nhanh. houzidawang806 Riêng cụm máy chủ này đã phát hành hơn 25 phiên bản chỉ trong một ngày, cùng với các máy chủ khác thuộc cùng hệ thống. houzidawang807 và houzidawang808. Các metrics-pipeline-d8k2 Gói phần mềm này đã được tái phát hành liên tục qua 21 phiên bản từ ngày 15 đến ngày 18 tháng 6 — một chiến dịch né tránh dai dẳng được thiết kế để luôn đi trước các danh sách chặn. friendly-greeter-demo Gói này liên tục xuất hiện trở lại trên nhiều phiên bản khác nhau trong suốt tuần. Những nỗ lực gây nhầm lẫn về phụ thuộc mới đã nổi lên. xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesvà một số khác — tất cả đều mang số phiên bản được thổi phồng trong phạm vi 999.x. Một nhóm mới các tên tiện ích chung với hậu tố thập lục phân ngẫu nhiên (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) xuất hiện vào ngày 18-19 tháng 6, phù hợp với việc đăng ký hàng loạt theo kịch bản. Tuần đó kết thúc với trimprompt, trimprompt-hub, claude-cupvà web3-crypto-address-utils Đã được xác nhận vào ngày 19 tháng 6. Trên PyPI, neuralbridge-sdk (năm phiên bản trải dài từ 4.5.x đến 5.1.x), deepstrain, teambot-ai, hello-test-s1và aiaddin-agent Những thông tin này đã được xác nhận trong suốt tuần.
Đây không phải là những trường hợp bất thường riêng lẻ. Điều nổi bật trong tuần này là sự tập trung các cuộc tấn công gây nhầm lẫn phụ thuộc vào không gian tên gói nội bộ, các chiến dịch công bố kéo dài nhiều ngày được thiết kế để tồn tại lâu hơn các nỗ lực gỡ bỏ, việc tiếp tục nhắm mục tiêu vào các công cụ Web3 và DeFi (một xu hướng đã tăng tốc đáng kể trong năm 2026), và việc sử dụng ngày càng nhiều các tên gói chung chung, giống như nhiễu, được thiết kế để tránh bị phát hiện bằng cách hòa lẫn vào cây phụ thuộc thông thường.
Bản tóm tắt hàng tuần này là một phần của chương trình Malicious Code Digest đang diễn ra, nơi chúng tôi xác thực các mối đe dọa mới và cung cấp thông tin tình báo hữu ích để giúp các nhóm DevSecOps bảo vệ hệ thống của họ. pipelinetrước khi thiệt hại xảy ra. Hãy cùng phân tích những gì chúng ta đã tìm thấy trong tuần này và tại sao điều đó lại quan trọng.
Đừng để các chiến dịch phối hợp tiếp cận bạn Pipelines
Bản tin tuần này không chỉ đề cập đến một mối đe dọa duy nhất; mà là về quy mô. Hơn 200 gói phần mềm độc hại đã được xác nhận, việc liên tục phát tán phiên bản mới trong nhiều ngày, và các chiến dịch đăng ký hàng loạt tự động diễn ra nhanh hơn cả tốc độ theo dõi thủ công. Bọn tấn công không chờ bạn bắt kịp.
Phát hiện phần mềm độc hại sớm bằng Xygeni Hệ thống liên tục giám sát npm, PyPI và các kho lưu trữ khác, gắn cờ các mối đe dọa ngay tại thời điểm công bố, chứ không phải sau khi chúng đã được đưa vào bản dựng. Khi một chiến dịch phát hành 21 phiên bản của cùng một gói phần mềm độc hại trong vòng bốn ngày, quá trình quét hàng tuần sẽ không phát hiện ra bất cứ điều gì kịp thời.
Xygeni's Open Source Security Giải pháp này cung cấp cho các nhóm DevSecOps của bạn khả năng hiển thị và ưu tiên theo thời gian thực mà họ cần để luôn đi trước áp lực phối hợp kiểu này, do đó... pipelineGiữ gìn vệ sinh sạch sẽ mà không làm chậm tiến độ của đội.




