Astero, gure malware detektatzeko sistemek milaka pakete berri eta eguneratu eskaneatzen dituzte npm eta PyPI bezalako erregistro publikoetan. Aste hau ez zen salbuespena izan.
2026ko ekainaren 26tik uztailaren 3ra bitartean, 90 pakete gaizto baino gehiago baieztatu genituen npm eta PyPI-ren bidez, aurreko asteetako hainbat kanpaina jarraituz eta berriak sortuz.
The nolimit-agent kanpainak bertsio berriak argitaratzen jarraitu zuen (1.0.306, 1.0.315, 1.0.316), gure atalean xehetasunez dokumentatu genuen Microsoft 365 gailu-kode phishing esparrua zabalduz. DeviceDoor txostena. The anthropic-toolkit klusterra izan zen kanpaina berri nagusia, ekainaren 30ean bakarrik 20 bertsio baieztatu baitziren — Anthropic-en garatzaileen tresnekin lotutako paketeak zuzenean zuzenduta. cursed-modules familiak 15 bertsio baino gehiago argitaratu zituen uztailaren 1etik 2ra bitartean, bietan standard eta bertsio-zenbaki puztuak (999.x), mendekotasunen nahasmen-liburuxka jarraituz. date-fns-lite klusterrak (5 bertsio, uztailak 2) utilitate-pakete legitimoak eta asko erabiltzen direnak imitatzeko eredua jarraitu zuen.
Joan den astean ezarritako IA tresnen helburu-eredua ollama-helpers openai-agents-helpers aldi honetara luzatu zen ai-explain, ai-sdk-helpers, eta @langgraphjs/toolkit, guztiak ekainaren 28tik ekainaren 30era bitartean baieztatuta. @szc-ft/mcp-szcd-client paketeak (0.38.0 eta 0.39.0 bertsioak, uztailaren 2an baieztatuak) jarraitzen ari garen eredu berri bat aurkeztu zuen SkillLeak: instalazio-hook baten ordez MCP trebetasun baten barruan ezkutatutako kredentzial deskriptatzaile bat, instalazio osteko unean gelditzen diren eskanerrentzat ikusezina. Argitaratu genuen SkillLeak-en analisi osoa hemen.
Asteko argazki hau gure etengabeko programaren parte da Kode Gaiztoaren Laburpena, non mehatxu berriak balioztatzen ditugun eta DevSecOps taldeei beren babesa ematen dieten adimen erabilgarria eskaintzen dugun pipelineKalteak gertatu baino lehen. Azter dezagun aste honetan zer aurkitu dugun eta zergatik den garrantzitsua.
90+ pakete. Astebete. Pipeline Helburua da.
Aste honetako laburpenak erasotzaileen fokuaren aldaketa islatzen du, ez bolumenari bakarrik, baizik eta aurreikuspenari ere.cisioia. Bertsioen uholde iraunkorrak, IA tresnen klusterrak, MCP geruzako kredentzialen lapurreta eta menpekotasunen nahasmen erasoak barneko monorepo izen-espazioen aurka. Kanpainak automatizatuak eta jarraituak dira. Astean behin eskaneatzea ez da defentsa bat.
Xygeni Malwarearen Abisu Goiztiarra npm, PyPI eta beste erregistro batzuk denbora errealean kontrolatzen ditu, mehatxuak argitaratzen diren unean bertan markatuz, build batera iritsi aurretik, IA agente batek autonomoki instalatu aurretik eta SkillLeak estiloko karga batek exekutatzeko aukera izan aurretik. Noiz anthropic-toolkit 20 bertsio argitaratzen ditu egun bakarrean edo cursed-modules npm 999.x bertsioarekin bi egunez gainezka egiten du, gertakariaren ondoren exekutatzen den detekzioa dagoeneko beranduegi da.
Xygeni-ren Open Source Security plataformak DevSecOps taldeei denbora errealeko detekzioa eta lehentasunak ezartzea ematen die hornidura-kate koordinatuaren presioaren aurretik egoteko, beraz, zure pipelineMantendu garbi zure taldeak moteldu gabe.




