每週我們的惡意軟體偵測系統會掃描 npm 和 PyPI 等公共註冊表中數千個新增和更新的軟體套件。本周也不例外。
我們確認在2026年6月12日至19日期間發現了超過200個惡意軟體包,主要集中在npm上,PyPI上也有少量案例。其中一些惡意軟體包出現在協同攻擊叢集中,重複發布,使用相同的名稱或在密切相關的軟體包家族中發布。
本週最引人注目的案例是 sensivity這導致 npm 上湧現超過 70 個版本號涵蓋 2.5.x 系列的發布版本,這種情況已持續多日得到證實。其他值得注意的發布集群還包括一波… @solana-labs 針對 Solana 生態系的網域搶註(web3.js, web3-js, etherjs, spl-toke, ancor, web3js ——在6月7日和6月8日的兩次獨立發布活動中), @nstrlabs 家庭(sdk, ixel, utils, shared-components, api-client, auth — 針對內部套件命名空間的依賴關係混淆攻擊), @klapp-login-platform 組(native-sdk, oidc, routes — 冒充身分驗證平台), internallib_v557 以及 internallib_v984 (多個版本的混淆內部庫冒名頂替者) pocteszep (6 個版本於 6 月 11 日發布),以及一系列加密和 Web3 實用程序,包括 blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87以及 farming-tools-12。 “ morningstar-design-system 6月10日,軟體包以三個版本出現,模仿了知名的金融設計系統。
從6月13日起,節奏加快。 houzidawang806 光是該集群一天之內就發布了超過 25 個版本,其他兄弟姐妹也加入了這一行列。 houzidawang807 以及 houzidawang808。 “ metrics-pipeline-d8k2 從6月15日至18日,該軟體包連續發布了21個版本——這是一場旨在規避封鎖名單的持續性行動。 friendly-greeter-demo 該軟體包在一周內不斷在不同版本中出現。新的依賴項混淆嘗試也隨之出現。 xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies以及其他幾個程式——它們的版本號都虛高,在 999.x 範圍內。這是一批帶有隨機十六進位後綴的通用實用程式名稱(color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*)出現在6月18日至19日,與預先設定的批量註冊相符。本週以 trimprompt, trimprompt-hub, claude-cup以及 web3-crypto-address-utils 已於6月19日在PyPI上確認。 neuralbridge-sdk (涵蓋 4.5.x 至 5.1.x 五個版本) deepstrain, teambot-ai, hello-test-s1以及 aiaddin-agent 本週內均已證實。
這些並非個案。本週的突出之處在於:針對內部軟體包命名空間的依賴關係混淆攻擊集中出現;持續數日的發布活動旨在拖延下架;Web3 和 DeFi 工具持續成為攻擊目標(這一趨勢在 2026 年顯著加速);以及越來越多地使用通用、類似噪音的軟體包名稱,這些名稱旨在透過融入正常的依賴關係樹來逃避檢測。
本週簡報是我們持續更新的惡意程式碼摘要的一部分,旨在驗證新出現的威脅並提供可操作的情報,以幫助 DevSecOps 團隊保護其安全。 pipeline在損失發生之前。讓我們來分析一下本週的發現及其重要性。
不要讓協同攻擊影響你 Pipelines
本週的簡報重點並非單一威脅,而是規模。已確認的軟體包超過 200 個,持續多日的版本氾濫攻擊,以及腳本化的批量註冊活動,其速度之快,遠超人工審核的應對能力。攻擊者不會等你反應過來。
Xygeni早期惡意軟體檢測 它持續監控 npm、PyPI 和其他註冊表,在威脅發布之時就發出警報,而不是在威脅整合到建置版本之後。如果攻擊活動在四天內發布了 21 個相同惡意軟體包的版本,那麼每週一次的掃描就無法及時發現任何問題。
Xygeni 的 Open Source Security 該解決方案為您的 DevSecOps 團隊提供即時可見性和優先排序功能,幫助他們應對此類協同壓力,從而確保您的… pipeline保持清潔,同時不拖慢團隊速度。




