Pob wythnos, mae ein systemau canfod meddalwedd faleisus yn sganio miloedd o becynnau newydd a rhai wedi'u diweddaru ar draws cofrestrfeydd cyhoeddus fel npm a PyPI. Nid oedd yr wythnos hon yn eithriad.
Fe wnaethon ni gadarnhau dros 90 o becynnau maleisus rhwng Mehefin 26 a Gorffennaf 3, 2026, ar draws npm a PyPI, gyda sawl ymgyrch yn parhau o'r wythnosau blaenorol a rhai newydd yn dod i'r amlwg.
The nolimit-agent parhaodd yr ymgyrch i gyhoeddi fersiynau newydd (1.0.306, 1.0.315, 1.0.316), gan ymestyn fframwaith gwe-rwydo cod dyfais Microsoft 365 a ddogfennwyd gennym yn fanwl yn ein Adroddiad DeviceDoor. Mae anthropic-toolkit clwstwr oedd yr ymgyrch newydd fwyaf amlwg, gyda 20 fersiwn wedi'u cadarnhau ar 30 Mehefin yn unig — gan dargedu pecynnau sy'n gysylltiedig ag offer datblygwyr Anthropic yn uniongyrchol. cursed-modules cyhoeddodd y teulu dros 15 fersiwn rhwng Gorffennaf 1 a Gorffennaf 2 ar draws y ddau standard a rhifau fersiwn wedi'u chwyddo (999.x), gan ddilyn y llyfr chwarae dryswch dibyniaeth. date-fns-lite Parhaodd clwstwr (5 fersiwn, 2 Gorffennaf) â'r patrwm o efelychu pecynnau cyfleustodau cyfreithlon a ddefnyddir yn eang.
Y patrwm targedu offer AI a sefydlwyd yr wythnos diwethaf gyda ollama-helpers ac openai-agents-helpers wedi'i ymestyn i'r cyfnod hwn gyda ai-explain, ai-sdk-helpers, a @langgraphjs/toolkit, pob un wedi'i gadarnhau rhwng Mehefin 28 a Mehefin 30. Y @szc-ft/mcp-szcd-client cyflwynodd y pecyn (fersiynau 0.38.0 a 0.39.0, a gadarnhawyd ar 2 Gorffennaf) batrwm newydd yr ydym yn ei olrhain fel SkillGleak: dadgryptiwr credydau wedi'i guddio y tu mewn i sgil MCP yn hytrach na bachyn gosod, yn anweledig i sganwyr sy'n stopio ar ôl gosod. Fe wnaethon ni gyhoeddi dadansoddiad llawn o SkillLeak yma.
Mae'r ciplun wythnosol hwn yn rhan o'n cynllun parhaus Crynodeb Cod Maleisus, lle rydym yn dilysu bygythiadau newydd ac yn darparu gwybodaeth ymarferol i helpu timau DevSecOps i amddiffyn eu pipelinecyn i ddifrod ddigwydd. Gadewch i ni ddadansoddi'r hyn a ganfuom yr wythnos hon a pham ei fod yn bwysig.
90+ o Becynnau. Un Wythnos. Y Pipeline Yw'r Targed.
Mae crynodeb yr wythnos hon yn adlewyrchu newid yn ffocws yr ymosodwr, nid yn unig y gyfrol, ond cyncision. Llifogydd fersiynau parhaus, clystyrau offer AI, dwyn manylion mewngofnodi haen MCP, ac ymosodiadau dryswch dibyniaeth yn erbyn gofodau enwau monorepo mewnol. Mae'r ymgyrchoedd yn awtomataidd ac yn barhaus. Nid yw sgan wythnosol yn amddiffyniad.
Rhybudd Cynnar am Feddalwedd Ddrwgwedd Xygeni yn monitro npm, PyPI, a chofrestrfeydd eraill mewn amser real, gan nodi bygythiadau ar adeg eu cyhoeddi, cyn iddynt gyrraedd adeiladwaith, cyn i asiant AI eu gosod yn ymreolaethol, a chyn i lwyth tâl tebyg i SkillLeak gael cyfle i weithredu. anthropic-toolkit yn cyhoeddi 20 fersiwn mewn un diwrnod neu cursed-modules yn gorlifo npm gyda fersiwn 999.x dros ddau ddiwrnod, mae canfod sy'n rhedeg ar ôl y ffaith eisoes yn rhy hwyr.
Xygeni's Open Source Security mae'r platfform yn rhoi'r canfod a'r blaenoriaethu amser real sydd eu hangen ar dimau DevSecOps i aros ar flaen y gad o ran pwysau cydlynol yn y gadwyn gyflenwi, felly mae eich pipelines aros yn lân heb arafu eich timau.




