Digest di Codice Maliziosu 77

Xygeni Malicious Code Digest 77

Ogni settimana, i nostri sistemi di rilevazione di malware scansionanu migliaia di pacchetti novi è aggiornati in registri publichi cum'è npm è PyPI. Sta settimana ùn hè stata una eccezione.

Avemu cunfirmatu più di 90 pacchetti maliziosi trà u 26 di ghjugnu è u 3 di lugliu di u 2026, attraversu npm è PyPI, cù parechje campagne chì cuntinueghjanu da e settimane precedenti è altre nove chì emergenu.

lu nolimit-agent A campagna hà cuntinuatu à publicà nove versioni (1.0.306, 1.0.315, 1.0.316), estendendu u quadru di phishing di codice di dispositivu Microsoft 365 chì avemu documentatu in dettagliu in u nostru Rapportu di DeviceDoor. lu anthropic-toolkit U cluster era a nova campagna duminante, cù 20 versioni cunfirmate solu u 30 di ghjugnu - destinate direttamente à i pacchetti assuciati à l'arnesi di sviluppatore di Anthropic. U cursed-modules a famiglia hà publicatu più di 15 versioni trà u 1 è u 2 di lugliu in tramindui standard è numeri di versione gonfiati (999.x), seguendu u manuale di cunfusione di dipendenze. U date-fns-lite cluster (5 versioni, 2 di lugliu) hà cuntinuatu u schema di impersonificazione di pacchetti di utilità legittimi è largamente usati.

U mudellu di targeting di l'arnesi di l'IA stabilitu a settimana scorsa cù ollama-helpers e openai-agents-helpers allargatu in questu periodu cù ai-explain, ai-sdk-helpers, e @langgraphjs/toolkit, tutti cunfirmati trà u 28 di ghjugnu è u 30 di ghjugnu. U @szc-ft/mcp-szcd-client U pacchettu (versioni 0.38.0 è 0.39.0, cunfirmatu u 2 di lugliu) hà introduttu un novu mudellu chì seguitemu cum'è SkillLeak: un decifratore di credenziali piattu in una cumpetenza MCP invece di un hook d'installazione, invisibile à i scanner chì si fermanu à a postinstallazione. Avemu publicatu un L'analisi cumpleta di SkillLeak quì.

Questa istantanea settimanale face parte di u nostru corsu Digest di Codice Maliziosu, induve validemu e nuove minacce è furnimu intelligenza azzionabile per aiutà e squadre DevSecOps à prutege i so pipelineprima chì si verifichinu danni. Analizemu ciò chì avemu trovu sta settimana è perchè hè impurtante.

Ecosistema pacchettu Cunfermatu
npm@miraiva_test/skill-order-export:0.3.0Jun 26, 2026
npminnxt-mini-app-sdk:1.0.0Jun 26, 2026
npmsysverify:1.0.9Jun 27, 2026
npm@k18n/creatormarketplace-admin-language:99.0.0Jun 28, 2026
npmstrumenti-interni-antropici:1.0.0Jun 28, 2026
npmstrumenti-interni-antropici:1.0.1Jun 28, 2026
npmopenai-agents-helpers:1.3.2Jun 28, 2026
npm@langgraphjs/toolkit:1.2.12Jun 28, 2026
npmai-sdk-helpers:1.4.4Jun 28, 2026
npmaiutanti-ollama:1.2.2Jun 28, 2026
npmai-spiegazione:0.3.3Jun 28, 2026
npmai-spiegazione:0.3.4Jun 28, 2026
pipitdata-grabber:1.0.0Jun 28, 2026
npm@vpms/sistema-di-cuncepimentu:1.1.2Jun 29, 2026
npm@vpms/sistema-di-cuncepimentu:1.0.1Jun 29, 2026
npm@vpms/sistema-di-cuncepimentu:0.1.3Jun 29, 2026
npmpacchettu-maliziusu-inseguru:1.0.0Jun 29, 2026
npmpacchettu-maliziusu-inseguru:1.0.2Jun 29, 2026
npmpacchettu-maliziusu-inseguru:1.0.4Jun 29, 2026
npmpacchettu-maliziusu-inseguru:1.0.6Jun 29, 2026
npmpacchettu-maliziusu-inseguru:1.0.8Jun 29, 2026
npmpacchettu-maliziusu-inseguru:1.0.9Jun 29, 2026
npmpacchettu-maliziusu-inseguru:2.0.0Jun 29, 2026
npmpacchettu-maliziusu-inseguru:2.0.1Jun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.5-pentestJun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.9-pentestJun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.7-pentestJun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11-pentestJun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11Jun 29, 2026
npmts-einkle:1.1.3Jun 29, 2026
npmvkzmn:1.0.6Jun 29, 2026
npmlivekit-agenti:0.3.4Jun 30, 2026
npmagente-nolimit:1.0.306Jun 30, 2026
npmkit di strumenti antropici:0.3.0Jun 30, 2026
npmkit di strumenti antropici:0.4.0Jun 30, 2026
npmkit di strumenti antropici:0.3.1Jun 30, 2026
npmkit di strumenti antropici:1.0.0Jun 30, 2026
npmkit di strumenti antropici:1.1.1Jun 30, 2026
npmkit di strumenti antropici:1.2.1Jun 30, 2026
npmkit di strumenti antropici:0.9.0Jun 30, 2026
npmkit di strumenti antropici:0.5.0Jun 30, 2026
npmkit di strumenti antropici:1.1.0Jun 30, 2026
npmkit di strumenti antropici:0.7.0Jun 30, 2026
npmkit di strumenti antropici:0.5.1Jun 30, 2026
npmkit di strumenti antropici:1.2.0Jun 30, 2026
npmkit di strumenti antropici:0.8.0Jun 30, 2026
npmkit di strumenti antropici:1.0.1Jun 30, 2026
npmkit di strumenti antropici:1.3.0Jun 30, 2026
npmkit di strumenti antropici:0.6.0Jun 30, 2026
npmkit di strumenti antropici:0.2.0Jun 30, 2026
npmkit di strumenti antropici:0.1.1Jun 30, 2026
npmkit di strumenti antropici:0.2.1Jun 30, 2026
npmkit di strumenti antropici:0.4.1Jun 30, 2026
npmkit di strumenti antropici:0.1.0Jun 30, 2026
npmripshakti:80.0.0Jun 30, 2026
npm@sudoughnym/enviro-demo:0.3.3Jul 1, 2026
npm@sudoughnym/enviro-demo:99.99.99Jul 1, 2026
npmripshakti1:81.0.0Jul 1, 2026
npmvue-demi-fix:10.0.4Jul 1, 2026
npmeslint-angular-react:110.0.1Jul 1, 2026
npmvue-demi-fix:10.0.5Jul 1, 2026
npmecto-corsair-flag-7kq3mz:1.0.2Jul 1, 2026
npmcustellai:0.5.1Jul 1, 2026
npmcustellai:0.5.0Jul 1, 2026
npmcustellai:0.4.0Jul 1, 2026
npmcustellai:0.3.12Jul 1, 2026
npmmoduli maledetti: 2.0.0Jul 1, 2026
npmmoduli maledetti: 999.0.0Jul 1, 2026
npmcache di l'indice di u modulu: 1.0.2Jul 1, 2026
npmmoduli maledetti: 999.0.1Jul 1, 2026
npmmoduli maledetti: 999.0.2Jul 1, 2026
npmmoduli maledetti: 999.0.3Jul 1, 2026
npmmoduli maledetti: 999.0.4Jul 1, 2026
npmmoduli maledetti: 999.0.5Jul 1, 2026
npmmoduli maledetti: 999.0.6Jul 1, 2026
npmmoduli maledetti: 999.0.7Jul 1, 2026
npmmoduli maledetti: 999.0.8Jul 1, 2026
npmmoduli maledetti: 999.0.9Jul 1, 2026
npmmoduli maledetti: 999.1.0Jul 1, 2026
npmmoduli maledetti: 999.1.1Jul 1, 2026
npmmoduli maledetti: 999.1.2Jul 1, 2026
npmmoduli maledetti: 1.0.1Jul 1, 2026
npmmoduli maledetti: 1.0.4Jul 1, 2026
npmmoduli maledetti: 1.0.5Jul 1, 2026
npmmoduli maledetti: 1.0.6Jul 1, 2026
npmmoduli maledetti: 1.0.7Jul 1, 2026
npmmoduli maledetti: 1.0.8Jul 1, 2026
npmpp-react-v5:30.0.1Jul 1, 2026
npmpp-react-v5:30.0.2Jul 1, 2026
npm@blue-repository/types:1.2.4-rc.0Jul 2, 2026
npm@leju-gym/gym-cli:1.0.7Jul 2, 2026
npmcunsumadoreweb:2200.4.2Jul 2, 2026
npm@szc-ft/mcp-szcd-client:0.38.0Jul 2, 2026
npmlogger-daemon-regex:1.0.124Jul 2, 2026
npm@easypayment/medusa-paypal:0.7.6Jul 2, 2026
npmdl-pp-latm:80.4.2Jul 2, 2026
npm@szc-ft/mcp-szcd-client:0.39.0Jul 2, 2026
npmdate-fns-lite:1.0.3Jul 2, 2026
npmdate-fns-lite:1.0.4Jul 2, 2026
npmdate-fns-lite:1.0.5Jul 2, 2026
npmdate-fns-lite:1.0.6Jul 2, 2026
npmdate-fns-lite:1.0.9Jul 2, 2026
npmagente-nolimit:1.0.315Jul 2, 2026
npmagente-nolimit:1.0.316Jul 2, 2026
npmmaledettu-ecto-d3ab00:1.0.0Jul 3, 2026
npm@checkrhq/adjudication-api-client:0.0.2Jul 3, 2026

Più di 90 pacchetti. Una settimana. U Pipeline Hè u Bersagliu.

U riassuntu di sta settimana riflette un cambiamentu in l'attenzione di l'attaccante, micca solu u vulume, ma ancu a precisione. Inundazione di versioni sustenuta, cluster di strumenti AI, furtu di credenziali di livellu MCP è attacchi di cunfusione di dipendenze contr'à i spazii di nomi monorepo interni. E campagne sò automatizate è continue. Una scansione settimanale ùn hè micca una difesa.

Avvisu precoce di malware Xygeni surveglia npm, PyPI, è altri registri in tempu reale, signalendu e minacce à u mumentu di a publicazione, prima ch'elli ghjunghjenu à una compilazione, prima ch'è un agente IA l'installi autonomamente, è prima ch'è un payload di stile SkillLeak abbia a pussibilità di esse eseguitu. Quandu anthropic-toolkit publica 20 versioni in un solu ghjornu o cursed-modules inunda npm cù a versione 999.x in dui ghjorni, a rilevazione chì esegue dopu u fattu hè digià troppu tardi.

Xygeni's Open Source Security A piattaforma dà à e squadre DevSecOps a rilevazione è a prioritizazione in tempu reale necessarie per stà à l'avanguardia di a pressione coordinata di a catena di furnimentu, cusì u vostru pipelinestà puliti senza rallentà e vostre squadre.

sca-tools-software-strumenti-d'analisi-di-cumpusizione
Priorizà, rimedià è assicurà i vostri risichi di software
Uttene u vostru contu gratuitu.
Nisuna carta di creditu necessaria.

Assicurà u vostru sviluppu è a consegna di software

cù a Suite di Prodotti Xygeni