幾乎每週我們的惡意軟體偵測系統會掃描 npm 和 PyPI 等公共註冊表中數千個新增和更新的軟體套件。本周也不例外。
我們確認在2026年6月7日至12日期間發現了超過130個惡意軟體包,主要集中在npm上,PyPI上也有少量案例。其中一些惡意軟體包出現在協同攻擊群集中,這些惡意軟體包以相同的名稱或在密切相關的軟體包家族中重複發布。
本週最引人注目的案例是 sensivity這導致 npm 上湧現超過 40 個版本號涵蓋 2.5.x 系列的發布版本,這種情況已持續多日得到證實。其他值得注意的發布集群還包括一波… @solana-labs 針對 Solana 生態系統(web3.js、web3-js、etherjs、spl-toke、ancor、web3js——在 6 月 7 日和 8 日的兩場獨立發布活動中)的域名搶注攻擊, @nstrlabs family (sdk, ixel, utils, shared-components, api-client, auth — 針對內部套件命名空間的依賴混淆攻擊) @klapp-login-platform group(native-sdk、oidc、routes — 模擬驗證平台), internallib_v557 以及 internallib_v984 (多個版本的混淆內部庫冒名頂替者) pocteszep (6 個版本於 6 月 11 日發布),以及一系列加密和 Web3 實用程序,包括 blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87以及 farming-tools-12。 “ morningstar-design-system 6月10日,軟體包以三個版本出現在PyPI上,模仿了一個知名的金融設計系統。 helixagentai, telegramlite以及 cdjeez 本週內均已證實。
這些並非孤立的異常事件。本週最引人注目的是針對內部包命名空間的依賴關係混淆攻擊的集中爆發,以及持續多日發布的攻擊。 sensivity 集群,以及對 Web3 和 Solana 工具的持續關注,這種模式在 2026 年顯著加速發展。
本週簡報是我們持續更新的惡意程式碼摘要的一部分,旨在驗證新出現的威脅並提供可操作的情報,以幫助 DevSecOps 團隊保護其安全。 pipeline在損害發生之前。
讓我們來分析一下本週的發現以及它為何重要。
不要讓惡意包裹進入生產線
您的團隊所依賴的軟體包正日益被用作入口點。 Xygeni早期惡意軟體檢測 即時監控註冊表,因此像本週摘要中提到的那些威脅會在到達您的建置版本之前就被阻止。
本週的調查結果提醒我們,攻擊策略變得越來越有預謀。版本氾濫、命名空間冒充和多日協同攻擊不再是個案,而是普遍現象。 standard 攻擊者的行動綱領。一次性掃描和人工審核無法跟上攻擊活動的步伐,這些活動將在多天內同時在多個註冊表中發布數十個版本。
Xygeni 的 Open Source Security 該解決方案使您的 DevSecOps 團隊能夠持續監控 npm、PyPI 及其他平台,在惡意軟體包發佈時立即進行檢測,優先處理真正存在可利用風險的漏洞,並縮短從檢測到修復的路徑。因此,您的團隊可以在不犧牲安全性的前提下快速發布產品。




