Resum de codi maliciós 77

Resum de codi maliciós de Xygeni 77

Cada setmana, els nostres sistemes de detecció de programari maliciós escanegen milers de paquets nous i actualitzats en registres públics com ara npm i PyPI. Aquesta setmana no ha estat una excepció.

Vam confirmar més de 90 paquets maliciosos entre el 26 de juny i el 3 de juliol de 2026, a través de npm i PyPI, amb diverses campanyes que continuen de setmanes anteriors i n'emergeixen de noves.

L' nolimit-agent La campanya va continuar publicant noves versions (1.0.306, 1.0.315, 1.0.316), ampliant el marc de phishing de codi de dispositiu del Microsoft 365 que vam documentar detalladament a la nostra Informe de DeviceDoor. La anthropic-toolkit clúster va ser la nova campanya dominant, amb 20 versions confirmades només el 30 de juny, dirigides directament a paquets associats amb les eines de desenvolupament d'Anthropic. El cursed-modules la família va publicar més de 15 versions entre l'1 i el 2 de juliol en tots dos standard i números de versió inflats (999.x), seguint el manual de confusió de dependències. El date-fns-lite El clúster (5 versions, 2 de juliol) va continuar el patró de suplantació de paquets d'utilitats legítims i àmpliament utilitzats.

El patró de segmentació de les eines d'IA establert la setmana passada amb ollama-helpers i openai-agents-helpers allargat en aquest període amb ai-explain, ai-sdk-helpersi @langgraphjs/toolkit, tots confirmats entre el 28 i el 30 de juny. El @szc-ft/mcp-szcd-client El paquet (versions 0.38.0 i 0.39.0, confirmades el 2 de juliol) ha introduït un nou patró que estem seguint SkillLeak: un desxifrador de credencials amagat dins d'una habilitat MCP en lloc d'un ganxo d'instal·lació, invisible per als escàners que s'aturen a la postinstal·lació. Vam publicar un Anàlisi completa de SkillLeak aquí.

Aquesta instantània setmanal forma part del nostre procés en curs Resum de codi maliciós, on validem les noves amenaces i proporcionem intel·ligència accionable per ajudar els equips de DevSecOps a protegir les seves pipelines abans que es produeixin danys. Analitzem què hem trobat aquesta setmana i per què és important.

Ecosistema paquet Confirmat
npm@miraiva_test/skill-order-export:0.3.0Juny 26, 2026
npminnxt-mini-app-sdk:1.0.0Juny 26, 2026
npmsysverify:1.0.9Juny 27, 2026
npm@k18n/creatormarketplace-admin-language:99.0.0Juny 28, 2026
npmeines-internes-antròpiques:1.0.0Juny 28, 2026
npmeines-internes-antròpiques:1.0.1Juny 28, 2026
npmopenai-agents-helpers:1.3.2Juny 28, 2026
npm@langgraphjs/eines:1.2.12Juny 28, 2026
npmai-sdk-helpers:1.4.4Juny 28, 2026
npmajudants d'ollama: 1.2.2Juny 28, 2026
npmai-explain:0.3.3Juny 28, 2026
npmai-explain:0.3.4Juny 28, 2026
pipicapturador de dades tdata:1.0.0Juny 28, 2026
npm@vpms/disseny-system:1.1.2Juny 29, 2026
npm@vpms/disseny-system:1.0.1Juny 29, 2026
npm@vpms/disseny-system:0.1.3Juny 29, 2026
npmpaquet-maliciós-insegur:1.0.0Juny 29, 2026
npmpaquet-maliciós-insegur:1.0.2Juny 29, 2026
npmpaquet-maliciós-insegur:1.0.4Juny 29, 2026
npmpaquet-maliciós-insegur:1.0.6Juny 29, 2026
npmpaquet-maliciós-insegur:1.0.8Juny 29, 2026
npmpaquet-maliciós-insegur:1.0.9Juny 29, 2026
npmpaquet-maliciós-insegur:2.0.0Juny 29, 2026
npmpaquet-maliciós-insegur:2.0.1Juny 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.5-pentestJuny 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.9-pentestJuny 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.7-pentestJuny 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11-pentestJuny 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11Juny 29, 2026
npmts-einkle:1.1.3Juny 29, 2026
npmvkzmn:1.0.6Juny 29, 2026
npmlivekit-agents:0.3.4Juny 30, 2026
npmagent-nolimit:1.0.306Juny 30, 2026
npmkit d'eines antròpiques: 0.3.0Juny 30, 2026
npmkit d'eines antròpiques: 0.4.0Juny 30, 2026
npmkit d'eines antròpiques: 0.3.1Juny 30, 2026
npmkit d'eines antròpiques: 1.0.0Juny 30, 2026
npmkit d'eines antròpiques: 1.1.1Juny 30, 2026
npmkit d'eines antròpiques: 1.2.1Juny 30, 2026
npmkit d'eines antròpiques: 0.9.0Juny 30, 2026
npmkit d'eines antròpiques: 0.5.0Juny 30, 2026
npmkit d'eines antròpiques: 1.1.0Juny 30, 2026
npmkit d'eines antròpiques: 0.7.0Juny 30, 2026
npmkit d'eines antròpiques: 0.5.1Juny 30, 2026
npmkit d'eines antròpiques: 1.2.0Juny 30, 2026
npmkit d'eines antròpiques: 0.8.0Juny 30, 2026
npmkit d'eines antròpiques: 1.0.1Juny 30, 2026
npmkit d'eines antròpiques: 1.3.0Juny 30, 2026
npmkit d'eines antròpiques: 0.6.0Juny 30, 2026
npmkit d'eines antròpiques: 0.2.0Juny 30, 2026
npmkit d'eines antròpiques: 0.1.1Juny 30, 2026
npmkit d'eines antròpiques: 0.2.1Juny 30, 2026
npmkit d'eines antròpiques: 0.4.1Juny 30, 2026
npmkit d'eines antròpiques: 0.1.0Juny 30, 2026
npmripshakti:80.0.0Juny 30, 2026
npm@sudoughnym/enviro-demo:0.3.3Juliol 1, 2026
npm@sudoughnym/enviro-demo:99.99.99Juliol 1, 2026
npmripshakti1:81.0.0Juliol 1, 2026
npmvue-demi-fix:10.0.4Juliol 1, 2026
npmeslint-angular-react:110.0.1Juliol 1, 2026
npmvue-demi-fix:10.0.5Juliol 1, 2026
npmecto-corsair-flag-7kq3mz:1.0.2Juliol 1, 2026
npmconstel·lació: 0.5.1Juliol 1, 2026
npmconstel·lació: 0.5.0Juliol 1, 2026
npmconstel·lació: 0.4.0Juliol 1, 2026
npmconstel·lació: 0.3.12Juliol 1, 2026
npmmòduls-maledets:2.0.0Juliol 1, 2026
npmmòduls-maledets:999.0.0Juliol 1, 2026
npmmemòria cau d'índexs de mòduls: 1.0.2Juliol 1, 2026
npmmòduls-maledets:999.0.1Juliol 1, 2026
npmmòduls-maledets:999.0.2Juliol 1, 2026
npmmòduls-maledets:999.0.3Juliol 1, 2026
npmmòduls-maledets:999.0.4Juliol 1, 2026
npmmòduls-maledets:999.0.5Juliol 1, 2026
npmmòduls-maledets:999.0.6Juliol 1, 2026
npmmòduls-maledets:999.0.7Juliol 1, 2026
npmmòduls-maledets:999.0.8Juliol 1, 2026
npmmòduls-maledets:999.0.9Juliol 1, 2026
npmmòduls-maledets:999.1.0Juliol 1, 2026
npmmòduls-maledets:999.1.1Juliol 1, 2026
npmmòduls-maledets:999.1.2Juliol 1, 2026
npmmòduls-maledets:1.0.1Juliol 1, 2026
npmmòduls-maledets:1.0.4Juliol 1, 2026
npmmòduls-maledets:1.0.5Juliol 1, 2026
npmmòduls-maledets:1.0.6Juliol 1, 2026
npmmòduls-maledets:1.0.7Juliol 1, 2026
npmmòduls-maledets:1.0.8Juliol 1, 2026
npmpp-react-v5:30.0.1Juliol 1, 2026
npmpp-react-v5:30.0.2Juliol 1, 2026
npm@blue-repository/types:1.2.4-rc.0Juliol 2, 2026
npm@leju-gym/gym-cli:1.0.7Juliol 2, 2026
npmweb del consumidor: 2200.4.2Juliol 2, 2026
npm@szc-ft/mcp-szcd-client:0.38.0Juliol 2, 2026
npmlogger-daemon-regex:1.0.124Juliol 2, 2026
npm@easypayment/medusa-paypal:0.7.6Juliol 2, 2026
npmdl-pp-latm:80.4.2Juliol 2, 2026
npm@szc-ft/mcp-szcd-client:0.39.0Juliol 2, 2026
npmdate-fns-lite:1.0.3Juliol 2, 2026
npmdate-fns-lite:1.0.4Juliol 2, 2026
npmdate-fns-lite:1.0.5Juliol 2, 2026
npmdate-fns-lite:1.0.6Juliol 2, 2026
npmdate-fns-lite:1.0.9Juliol 2, 2026
npmagent-nolimit:1.0.315Juliol 2, 2026
npmagent-nolimit:1.0.316Juliol 2, 2026
npmmaleït-ecto-d3ab00:1.0.0Juliol 3, 2026
npm@checkrhq/adjudication-api-client:0.0.2Juliol 3, 2026

Més de 90 paquets. Una setmana. El/La/Els/Les Pipeline És l'objectiu.

El resum d'aquesta setmana reflecteix un canvi en l'enfocament de l'atacant, no només en el volum, sinó també en la pre...cisió. Inundació sostinguda de versions, clústers d'eines d'IA, robatori de credencials de capa MCP i atacs de confusió de dependències contra espais de noms monorepo interns. Les campanyes són automatitzades i contínues. Una exploració setmanal no és una defensa.

Avís precoç de programari maliciós de Xygeni monitoritza npm, PyPI i altres registres en temps real, marcant les amenaces en el moment de la publicació, abans que arribin a una compilació, abans que un agent d'IA les instal·li de forma autònoma i abans que una càrrega útil d'estil SkillLeak tingui l'oportunitat d'executar-se. Quan anthropic-toolkit publica 20 versions en un sol dia o cursed-modules inunda npm amb la versió 999.x durant dos dies, la detecció que s'executa després del fet ja és massa tardana.

Xygeni's Open Source Security La plataforma ofereix als equips de DevSecOps la detecció i priorització en temps real necessàries per mantenir-se al dia de la pressió coordinada de la cadena de subministrament, de manera que el vostre pipelinemantenir-se net sense alentir els equips.

sca-tools-software-composition-analyse-tools
Prioritzar, solucionar i protegir els riscos del programari
Obtén el teu compte gratuït.
No es requereix cap targeta de crèdit.

Assegura el desenvolupament i el lliurament del teu programari

amb el paquet de productes Xygeni