xygeni malicious code digest 78

Дайджэст шкоднаснага кода Xygeni 78

Кожны тыдзень, нашы сістэмы выяўлення шкоднасных праграм скануюць тысячы новых і абноўленых пакетаў у публічных рэестрах, такіх як npm і PyPI. Гэты тыдзень не стаў выключэннем.

Мы пацвердзілі больш за 90 шкоднасных пакетаў у перыяд з 26 чэрвеня па 3 ліпеня 2026 года ў npm і PyPI, прычым некалькі кампаній працягваліся з папярэдніх тыдняў, а таксама з'явіліся новыя.

,en nolimit-agent Кампанія працягвала публікаваць новыя версіі (1.0.306, 1.0.315, 1.0.316), пашыраючы сістэму фішынгу з выкарыстаннем кода прылад Microsoft 365, якую мы падрабязна апісалі ў нашым Справаздача DeviceDoor. anthropic-toolkit кластар быў дамінуючай новай кампаніяй, толькі 30 чэрвеня было пацверджана 20 версій — непасрэдна накіраваных на пакеты, звязаныя з інструментамі распрацоўшчыка Anthropic. cursed-modules сям'я апублікавала больш за 15 версій паміж 1 і 2 ліпеня ў абодвух standard і завышаныя нумары версій (999.x) у адпаведнасці з інструкцыяй па выкарыстанні блытаніны з залежнасцямі. date-fns-lite кластар (5 версій, 2 ліпеня) працягнуў мадэль імітацыі легітымных, шырока выкарыстоўваных утылітных пакетаў.

Шаблон таргетынгу інструментаў штучнага інтэлекту, усталяваны на мінулым тыдні з ollama-helpers і openai-agents-helpers працягнуты ў гэты перыяд з ai-explain, ai-sdk-helpers, і @langgraphjs/toolkit, усе пацверджаныя ў перыяд з 28 па 30 чэрвеня. @szc-ft/mcp-szcd-client пакет (версіі 0.38.0 і 0.39.0, пацверджаныя 2 ліпеня) прадставіў новую заканамернасць, якую мы адсочваем як SkillLeak: дэшыфратар уліковых дадзеных, схаваны ўнутры навыка MCP, а не перахопніка ўстаноўкі, нябачны для сканераў, якія спыняюцца пасля ўстаноўкі. Мы апублікавалі поўны аналіз SkillLeak тут.

Гэты штотыднёвы здымак з'яўляецца часткай нашай пастаяннай Дайджэст шкоднаснага кода, дзе мы правяраем новыя пагрозы і прадастаўляем практычную інфармацыю, каб дапамагчы камандам DevSecOps абараніць сваіх pipelineда таго, як адбудзецца пашкоджанне. Давайце разгледзім, што мы выявілі на гэтым тыдні і чаму гэта важна.

Экасістэма пакет Пацверджана
НПМ@miraiva_test/экспарт-замовы-навыкаў:0.3.0Чэрвень 26, 2026
НПМinnxt-міні-прыкладанне-sdk:1.0.0Чэрвень 26, 2026
НПМsysverify:1.0.9Чэрвень 27, 2026
НПМ@k18n/creatormarketplace-адміністратар-мова:99.0.0Чэрвень 28, 2026
НПМантрапічныя-ўнутраныя-інструменты:1.0.0Чэрвень 28, 2026
НПМантрапічныя-ўнутраныя-інструменты:1.0.1Чэрвень 28, 2026
НПМopenai-agents-helpers:1.3.2Чэрвень 28, 2026
НПМ@langgraphjs/інструменты:1.2.12Чэрвень 28, 2026
НПМai-sdk-helpers:1.4.4Чэрвень 28, 2026
НПМollama-памочнікі:1.2.2Чэрвень 28, 2026
НПМAI-тлумачэнне:0.3.3Чэрвень 28, 2026
НПМAI-тлумачэнне:0.3.4Чэрвень 28, 2026
pypitdata-grabber:1.0.0Чэрвень 28, 2026
НПМ@vpms/дызайн-сістэмы:1.1.2Чэрвень 29, 2026
НПМ@vpms/дызайн-сістэмы:1.0.1Чэрвень 29, 2026
НПМ@vpms/дызайн-сістэмы:0.1.3Чэрвень 29, 2026
НПМнебяспечны-шкоднасны-пакет:1.0.0Чэрвень 29, 2026
НПМнебяспечны-шкоднасны-пакет:1.0.2Чэрвень 29, 2026
НПМнебяспечны-шкоднасны-пакет:1.0.4Чэрвень 29, 2026
НПМнебяспечны-шкоднасны-пакет:1.0.6Чэрвень 29, 2026
НПМнебяспечны-шкоднасны-пакет:1.0.8Чэрвень 29, 2026
НПМнебяспечны-шкоднасны-пакет:1.0.9Чэрвень 29, 2026
НПМнебяспечны-шкоднасны-пакет:2.0.0Чэрвень 29, 2026
НПМнебяспечны-шкоднасны-пакет:2.0.1Чэрвень 29, 2026
НПМ@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.5-pentestЧэрвень 29, 2026
НПМ@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.9-pentestЧэрвень 29, 2026
НПМ@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.7-pentestЧэрвень 29, 2026
НПМ@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11-pentestЧэрвень 29, 2026
НПМ@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11Чэрвень 29, 2026
НПМts-einkle:1.1.3Чэрвень 29, 2026
НПМvkzmn:1.0.6Чэрвень 29, 2026
НПМагенты livekit:0.3.4Чэрвень 30, 2026
НПМnolimit-agent:1.0.306Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.3.0Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.4.0Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.3.1Чэрвень 30, 2026
НПМантрапічны-інструментарый:1.0.0Чэрвень 30, 2026
НПМантрапічны-інструментарый:1.1.1Чэрвень 30, 2026
НПМантрапічны-інструментарый:1.2.1Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.9.0Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.5.0Чэрвень 30, 2026
НПМантрапічны-інструментарый:1.1.0Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.7.0Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.5.1Чэрвень 30, 2026
НПМантрапічны-інструментарый:1.2.0Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.8.0Чэрвень 30, 2026
НПМантрапічны-інструментарый:1.0.1Чэрвень 30, 2026
НПМантрапічны-інструментарый:1.3.0Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.6.0Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.2.0Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.1.1Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.2.1Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.4.1Чэрвень 30, 2026
НПМантрапічны-інструментарый:0.1.0Чэрвень 30, 2026
НПМрыпшакці:80.0.0Чэрвень 30, 2026
НПМ@sudoughnym/enviro-demo:0.3.3Ліпеня 1, 2026
НПМ@sudoughnym/enviro-demo:99.99.99Ліпеня 1, 2026
НПМрыпшакці1:81.0.0Ліпеня 1, 2026
НПМvue-demi-fix:10.0.4Ліпеня 1, 2026
НПМeslint-angular-react:110.0.1Ліпеня 1, 2026
НПМvue-demi-fix:10.0.5Ліпеня 1, 2026
НПМэкта-корсар-сцяг-7kq3mz:1.0.2Ліпеня 1, 2026
НПМсузор'і:0.5.1Ліпеня 1, 2026
НПМсузор'і:0.5.0Ліпеня 1, 2026
НПМсузор'і:0.4.0Ліпеня 1, 2026
НПМсузор'і:0.3.12Ліпеня 1, 2026
НПМпраклятыя модулі:2.0.0Ліпеня 1, 2026
НПМпраклятыя модулі:999.0.0Ліпеня 1, 2026
НПМкэш-індэкс-модуля:1.0.2Ліпеня 1, 2026
НПМпраклятыя модулі:999.0.1Ліпеня 1, 2026
НПМпраклятыя модулі:999.0.2Ліпеня 1, 2026
НПМпраклятыя модулі:999.0.3Ліпеня 1, 2026
НПМпраклятыя модулі:999.0.4Ліпеня 1, 2026
НПМпраклятыя модулі:999.0.5Ліпеня 1, 2026
НПМпраклятыя модулі:999.0.6Ліпеня 1, 2026
НПМпраклятыя модулі:999.0.7Ліпеня 1, 2026
НПМпраклятыя модулі:999.0.8Ліпеня 1, 2026
НПМпраклятыя модулі:999.0.9Ліпеня 1, 2026
НПМпраклятыя модулі:999.1.0Ліпеня 1, 2026
НПМпраклятыя модулі:999.1.1Ліпеня 1, 2026
НПМпраклятыя модулі:999.1.2Ліпеня 1, 2026
НПМпраклятыя модулі:1.0.1Ліпеня 1, 2026
НПМпраклятыя модулі:1.0.4Ліпеня 1, 2026
НПМпраклятыя модулі:1.0.5Ліпеня 1, 2026
НПМпраклятыя модулі:1.0.6Ліпеня 1, 2026
НПМпраклятыя модулі:1.0.7Ліпеня 1, 2026
НПМпраклятыя модулі:1.0.8Ліпеня 1, 2026
НПМpp-react-v5:30.0.1Ліпеня 1, 2026
НПМpp-react-v5:30.0.2Ліпеня 1, 2026
НПМ@blue-repository/тыпы:1.2.4-rc.0Ліпеня 2, 2026
НПМ@leju-gym/gym-cli:1.0.7Ліпеня 2, 2026
НПМспажывецкі вэб:2200.4.2Ліпеня 2, 2026
НПМ@szc-ft/mcp-szcd-client:0.38.0Ліпеня 2, 2026
НПМрэгулярны выраз дэмана логгера: 1.0.124Ліпеня 2, 2026
НПМ@easypayment/medusa-paypal:0.7.6Ліпеня 2, 2026
НПМdl-pp-latm:80.4.2Ліпеня 2, 2026
НПМ@szc-ft/mcp-szcd-client:0.39.0Ліпеня 2, 2026
НПМdate-fns-lite:1.0.3Ліпеня 2, 2026
НПМdate-fns-lite:1.0.4Ліпеня 2, 2026
НПМdate-fns-lite:1.0.5Ліпеня 2, 2026
НПМdate-fns-lite:1.0.6Ліпеня 2, 2026
НПМdate-fns-lite:1.0.9Ліпеня 2, 2026
НПМnolimit-agent:1.0.315Ліпеня 2, 2026
НПМnolimit-agent:1.0.316Ліпеня 2, 2026
НПМпракляты-ecto-d3ab00:1.0.0Ліпеня 3, 2026
НПМ@checkrhq/adjudication-api-client:0.0.2Ліпеня 3, 2026

Больш за 90 пасылак. Адзін тыдзень. Pipeline Ці з'яўляецца мішэнню.

Агляд гэтага тыдня адлюстроўвае зрух у цэнтры ўвагі нападнікаў, не толькі па колькасці, але і па папярэдняйcisіён. Пастаяннае перапаўненне версіямі, кластары інструментаў штучнага інтэлекту, крадзеж уліковых дадзеных на ўзроўні MCP і атакі з мэтай блытаніны залежнасцей супраць унутраных прастор імёнаў манарэпазітараў. Кампаніі аўтаматызаваныя і бесперапынныя. Штотыднёвае сканаванне не з'яўляецца абаронай.

Папярэджанне Xygeni аб ​​шкоднасных праграмах кантралюе npm, PyPI і іншыя рэестры ў рэжыме рэальнага часу, пазначаючы пагрозы ў момант публікацыі, да таго, як яны патрапяць у зборку, да таго, як агент штучнага інтэлекту ўсталюе іх аўтаномна, і да таго, як карысная нагрузка ў стылі SkillLeak паспее выканацца. Калі anthropic-toolkit публікуе 20 версій за адзін дзень або cursed-modules залівае npm версіяй 999.x на працягу двух дзён, выяўленне, якое запускаецца пасля факту здарэння, ужо занадта позна.

Ксігені Open Source Security Платформа дае камандам DevSecOps магчымасць выяўляць і прыярытэтызаваць праблемы ў рэжыме рэальнага часу, каб апярэджваць ціск скаардынаванага ланцужка паставак, таму вашы pipelineзаставайцеся чыстымі, не запавольваючы працу вашых каманд.

інструменты-для-аналізу-складання-праграмнага ...
Прыярытэзуйце, ліквідуйце і абараняйце свае праграмныя рызыкі
Атрымайце свой бясплатны рахунак.
Не патрабуецца крэдытная карта.

Забяспечце распрацоўку і пастаўку праграмнага забеспячэння

з пакетам прадуктаў Xygeni