每周我们的恶意软件检测系统会扫描 npm 和 PyPI 等公共注册表中数千个新增和更新的软件包。本周也不例外。
我们确认在2026年6月12日至19日期间发现了超过200个恶意软件包,主要集中在npm上,PyPI上也有少量案例。其中一些恶意软件包出现在协同攻击集群中,重复发布,使用相同的名称或在密切相关的软件包家族中发布。
本周最引人注目的案例是 sensivity这导致 npm 上涌现出超过 70 个版本号涵盖 2.5.x 系列的发布版本,这种情况已持续多日得到证实。其他值得注意的发布集群还包括一波…… @solana-labs 针对 Solana 生态系统的域名抢注(web3.js, web3-js, etherjs, spl-toke, ancor, web3js ——在6月7日和6月8日的两次独立发布活动中), @nstrlabs 家庭(sdk, ixel, utils, shared-components, api-client, auth — 针对内部包命名空间的依赖关系混淆攻击), @klapp-login-platform 组(native-sdk, oidc, routes — 冒充身份验证平台), internallib_v557 和 internallib_v984 (多个版本的混淆内部库冒名顶替者) pocteszep (6 个版本于 6 月 11 日发布),以及一系列加密和 Web3 实用程序,包括 blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87和 farming-tools-12。 该 morningstar-design-system 6月10日,该软件包以三个版本出现,模仿了知名的金融设计系统。
从6月13日起,节奏加快。 houzidawang806 仅该集群一天之内就发布了超过 25 个版本,其他兄弟姐妹也加入了这一行列。 houzidawang807 和 houzidawang808。 该 metrics-pipeline-d8k2 从6月15日至18日,该软件包连续发布了21个版本——这是一场旨在规避封锁名单的持续性行动。 friendly-greeter-demo 该软件包在一周内不断在不同版本中出现。新的依赖项混淆尝试也随之出现。 xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies以及其他几个程序——它们的版本号都虚高,在 999.x 范围内。这是一批带有随机十六进制后缀的通用实用程序名称(color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*)出现在6月18日至19日,与预先设定的批量注册相符。本周以 trimprompt, trimprompt-hub, claude-cup和 web3-crypto-address-utils 已于6月19日在PyPI上确认。 neuralbridge-sdk (涵盖 4.5.x 至 5.1.x 五个版本) deepstrain, teambot-ai, hello-test-s1和 aiaddin-agent 本周内均已得到证实。
这些并非孤立事件。本周的突出之处在于:针对内部软件包命名空间的依赖关系混淆攻击集中出现;持续数日的发布活动旨在拖延下架;Web3 和 DeFi 工具持续成为攻击目标(这一趋势在 2026 年显著加速);以及越来越多地使用通用、类似噪音的软件包名称,这些名称旨在通过融入正常的依赖关系树来逃避检测。
本周简报是我们持续更新的恶意代码摘要的一部分,旨在验证新出现的威胁并提供可操作的情报,以帮助 DevSecOps 团队保护其安全。 pipeline在损失发生之前。让我们来分析一下本周的发现及其重要性。
不要让协同攻击影响到你 Pipelines
本周的简报重点并非单一威胁,而是其规模。已确认的软件包超过 200 个,持续多日的版本泛滥攻击,以及脚本化的批量注册活动,其速度之快,远超人工审核的应对能力。攻击者不会等你反应过来。
Xygeni 早期恶意软件检测 它持续监控 npm、PyPI 和其他注册表,在威胁发布之时就发出警报,而不是在威胁被整合到构建版本之后。如果一个攻击活动在四天内发布了 21 个相同恶意软件包的版本,那么每周一次的扫描就无法及时发现任何问题。
Xygeni 的 Open Source Security 该解决方案为您的 DevSecOps 团队提供实时可见性和优先级排序功能,帮助他们应对此类协同压力,从而确保您的…… pipeline保持清洁,同时又不拖慢团队速度。




