xygeni malicious code digest 78

ઝાયજેની મેલિશિયસ કોડ ડાયજેસ્ટ 78

દર અઠવાડિયે, અમારી માલવેર શોધ સિસ્ટમ્સ npm અને PyPI જેવી જાહેર રજિસ્ટ્રીમાં હજારો નવા અને અપડેટેડ પેકેજોને સ્કેન કરે છે. આ અઠવાડિયું પણ તેનો અપવાદ નહોતું.

અમે 26 જૂનથી 3 જુલાઈ, 2026 દરમિયાન npm અને PyPI પર 90 થી વધુ દૂષિત પેકેજોની પુષ્ટિ કરી છે, જેમાં પાછલા અઠવાડિયાથી ઘણી ઝુંબેશો ચાલુ છે અને નવા પણ બહાર આવ્યા છે.

nolimit-agent ઝુંબેશ નવા સંસ્કરણો (1.0.306, 1.0.315, 1.0.316) પ્રકાશિત કરવાનું ચાલુ રાખ્યું, જેમાં Microsoft 365 ડિવાઇસ-કોડ ફિશિંગ ફ્રેમવર્કનો વિસ્તાર કરવામાં આવ્યો જે અમે અમારામાં વિગતવાર દસ્તાવેજીકરણ કર્યું છે. ડિવાઇસડોર રિપોર્ટ. આ anthropic-toolkit ક્લસ્ટર એ પ્રબળ નવી ઝુંબેશ હતી, જેમાં 30 જૂનના રોજ 20 સંસ્કરણોની પુષ્ટિ થઈ હતી - જે એન્થ્રોપિકના ડેવલપર ટૂલિંગ સાથે સંકળાયેલા પેકેજોને સીધા લક્ષ્ય બનાવતી હતી. cursed-modules પરિવારે 1 જુલાઈ અને 2 જુલાઈ વચ્ચે બંને દેશોમાં 15 થી વધુ આવૃત્તિઓ પ્રકાશિત કરી standard અને ડિપેન્ડન્સી કન્ફ્યુઝન પ્લેબુકને અનુસરીને, ફૂલેલા વર્ઝન નંબરો (999.x). date-fns-lite ક્લસ્ટર (5 આવૃત્તિઓ, 2 જુલાઈ) એ કાયદેસર, વ્યાપકપણે ઉપયોગમાં લેવાતા ઉપયોગિતા પેકેજોનો ઢોંગ કરવાની રીત ચાલુ રાખી.

ગયા અઠવાડિયે AI ટૂલિંગ ટાર્ગેટિંગ પેટર્ન સ્થાપિત થઈ ollama-helpers અને openai-agents-helpers આ સમયગાળા સુધી લંબાવવામાં આવ્યું છે જેમાં ai-explain, ai-sdk-helpers, અને @langgraphjs/toolkit, બધા 28 જૂન અને 30 જૂન વચ્ચે પુષ્ટિ થયેલ છે. @szc-ft/mcp-szcd-client પેકેજ (આવૃત્તિઓ 0.38.0 અને 0.39.0, 2 જુલાઈના રોજ પુષ્ટિ થયેલ) એ એક નવી પેટર્ન રજૂ કરી જે અમે ટ્રેક કરી રહ્યા છીએ સ્કિલલીક: ઇન્સ્ટોલ હૂકને બદલે MCP કૌશલ્યની અંદર છુપાયેલ ઓળખપત્ર ડિક્રિપ્ટર, જે પોસ્ટઇન્સ્ટોલ પર બંધ થતા સ્કેનરો માટે અદ્રશ્ય છે. અમે એક પ્રકાશિત કર્યું સ્કિલલીકનું સંપૂર્ણ વિશ્લેષણ અહીં.

આ સાપ્તાહિક સ્નેપશોટ અમારા ચાલુ દૂષિત કોડ ડાયજેસ્ટ, જ્યાં અમે નવા જોખમોને માન્ય કરીએ છીએ અને DevSecOps ટીમોને તેમના pipelineનુકસાન થાય તે પહેલાં. ચાલો આ અઠવાડિયે આપણને શું મળ્યું અને તે શા માટે મહત્વનું છે તે વિભાજીત કરીએ.

ઇકોસિસ્ટમ પેકેજ પુષ્ટિ મળી
npm@મીરાઇવા_ટેસ્ટ/કૌશલ્ય-ક્રમ-નિકાસ:0.3.0જૂન 26, 2026
npminnxt-મીની-એપ-sdk:1.0.0જૂન 26, 2026
npmસિસ્ટમ વેરિફાઇ: 1.0.9જૂન 27, 2026
npm@k18n/ક્રિએટરમાર્કેટપ્લેસ-એડમિન-ભાષા:99.0.0જૂન 28, 2026
npmમાનવ-આંતરિક-સાધનો: 1.0.0જૂન 28, 2026
npmમાનવ-આંતરિક-સાધનો: 1.0.1જૂન 28, 2026
npmઓપનાઈ-એજન્ટ્સ-હેલ્પર્સ:1.3.2જૂન 28, 2026
npm@langgraphjs/ટૂલકીટ:1.2.12જૂન 28, 2026
npmai-sdk-હેલ્પર્સ:1.4.4જૂન 28, 2026
npmઓલામા-હેલ્પર્સ:1.2.2જૂન 28, 2026
npmએઆઈ-એક્સપ્લેન: 0.3.3જૂન 28, 2026
npmએઆઈ-એક્સપ્લેન: 0.3.4જૂન 28, 2026
pypiટીડેટા-ગ્રેબર: 1.0.0જૂન 28, 2026
npm@vpms/ડિઝાઇન-સિસ્ટમ:1.1.2જૂન 29, 2026
npm@vpms/ડિઝાઇન-સિસ્ટમ:1.0.1જૂન 29, 2026
npm@vpms/ડિઝાઇન-સિસ્ટમ:0.1.3જૂન 29, 2026
npmઅસુરક્ષિત-દૂષિત-પેકેજ:1.0.0જૂન 29, 2026
npmઅસુરક્ષિત-દૂષિત-પેકેજ:1.0.2જૂન 29, 2026
npmઅસુરક્ષિત-દૂષિત-પેકેજ:1.0.4જૂન 29, 2026
npmઅસુરક્ષિત-દૂષિત-પેકેજ:1.0.6જૂન 29, 2026
npmઅસુરક્ષિત-દૂષિત-પેકેજ:1.0.8જૂન 29, 2026
npmઅસુરક્ષિત-દૂષિત-પેકેજ:1.0.9જૂન 29, 2026
npmઅસુરક્ષિત-દૂષિત-પેકેજ:2.0.0જૂન 29, 2026
npmઅસુરક્ષિત-દૂષિત-પેકેજ:2.0.1જૂન 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-પેન્ટેસ્ટ:1.0.5-પેન્ટેસ્ટજૂન 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-પેન્ટેસ્ટ:1.0.9-પેન્ટેસ્ટજૂન 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-પેન્ટેસ્ટ:1.0.7-પેન્ટેસ્ટજૂન 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-પેન્ટેસ્ટ:1.0.11-પેન્ટેસ્ટજૂન 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11જૂન 29, 2026
npmts-einkle:1.1.3જૂન 29, 2026
npmvkzmn:1.0.6જૂન 29, 2026
npmલાઇવકીટ-એજન્ટ્સ: 0.3.4જૂન 30, 2026
npmનોલિમિટ-એજન્ટ: 1.0.306જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.3.0જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.4.0જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.3.1જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:1.0.0જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:1.1.1જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:1.2.1જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.9.0જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.5.0જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:1.1.0જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.7.0જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.5.1જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:1.2.0જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.8.0જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:1.0.1જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:1.3.0જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.6.0જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.2.0જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.1.1જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.2.1જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.4.1જૂન 30, 2026
npmએન્થ્રોપિક-ટૂલકીટ:0.1.0જૂન 30, 2026
npmરિપશક્તિ: ૮૦.૦.૦જૂન 30, 2026
npm@સુડોઘનીમ/એન્વાયરો-ડેમો:૯૯.૯૯.૯૯જુલાઈ 1, 2026
npm@સુડોઘનીમ/એન્વાયરો-ડેમો:૯૯.૯૯.૯૯જુલાઈ 1, 2026
npmરિપશક્તિ૧:૮૧.૦.૦જુલાઈ 1, 2026
npmવ્યુ-ડેમી-ફિક્સ:૧૦.૦.૫જુલાઈ 1, 2026
npmએસ્લિન્ટ-એંગ્યુલર-રિએક્ટ:110.0.1જુલાઈ 1, 2026
npmવ્યુ-ડેમી-ફિક્સ:૧૦.૦.૫જુલાઈ 1, 2026
npmએક્ટો-કોર્સેર-ફ્લેગ-7kq3mz:1.0.2જુલાઈ 1, 2026
npmનક્ષત્ર: 0.5.1જુલાઈ 1, 2026
npmનક્ષત્ર: 0.5.0જુલાઈ 1, 2026
npmનક્ષત્ર: 0.4.0જુલાઈ 1, 2026
npmનક્ષત્ર: 0.3.12જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:2.0.0જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.0.0જુલાઈ 1, 2026
npmમોડ્યુલ-ઇન્ડેક્સ-કેશ: 1.0.2જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.0.1જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.0.2જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.0.3જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.0.4જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.0.5જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.0.6જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.0.7જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.0.8જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.0.9જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.1.0જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.1.1જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:999.1.2જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:1.0.1જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:1.0.4જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:1.0.5જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:1.0.6જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:1.0.7જુલાઈ 1, 2026
npmશાપિત-મોડ્યુલો:1.0.8જુલાઈ 1, 2026
npmપીપી-રિએક્ટ-વી5:30.0.1જુલાઈ 1, 2026
npmપીપી-રિએક્ટ-વી5:30.0.2જુલાઈ 1, 2026
npm@બ્લુ-રિપોઝીટરી/પ્રકારો:1.2.4-rc.0જુલાઈ 2, 2026
npm@લેજુ-જીમ/જીમ-ક્લાયંટ: ૧.૦.૭જુલાઈ 2, 2026
npmકન્ઝ્યુમરવેબ:2200.4.2જુલાઈ 2, 2026
npm@szc-ft/mcp-szcd-ક્લાયંટ:0.38.0જુલાઈ 2, 2026
npmલોગર-ડેમન-રેજેક્સ: 1.0.124જુલાઈ 2, 2026
npm@easypayment/medusa-paypal:0.7.6જુલાઈ 2, 2026
npmડીએલ-પીપી-લેટમ: 80.4.2જુલાઈ 2, 2026
npm@szc-ft/mcp-szcd-ક્લાયંટ:0.39.0જુલાઈ 2, 2026
npmતારીખ-એફએનએસ-લાઇટ: 1.0.3જુલાઈ 2, 2026
npmતારીખ-એફએનએસ-લાઇટ: 1.0.4જુલાઈ 2, 2026
npmતારીખ-એફએનએસ-લાઇટ: 1.0.5જુલાઈ 2, 2026
npmતારીખ-એફએનએસ-લાઇટ: 1.0.6જુલાઈ 2, 2026
npmતારીખ-એફએનએસ-લાઇટ: 1.0.9જુલાઈ 2, 2026
npmનોલિમિટ-એજન્ટ: 1.0.315જુલાઈ 2, 2026
npmનોલિમિટ-એજન્ટ: 1.0.316જુલાઈ 2, 2026
npmશાપિત-એક્ટો-d3ab00:1.0.0જુલાઈ 3, 2026
npm@checkrhq/નિર્ણય-api-ક્લાયંટ:0.0.2જુલાઈ 3, 2026

૯૦+ પેકેજો. એક અઠવાડિયું. આ Pipeline લક્ષ્ય છે.

આ અઠવાડિયાનું ડાયજેસ્ટ હુમલાખોરના ફોકસમાં પરિવર્તનને પ્રતિબિંબિત કરે છે, ફક્ત વોલ્યુમમાં જ નહીં, પરંતુ પૂર્વમાં પણcisઆયન. સતત વર્ઝન ફ્લડિંગ, AI ટૂલિંગ ક્લસ્ટર્સ, MCP-લેયર ઓળખપત્ર ચોરી, અને આંતરિક મોનોરેપો નેમસ્પેસ સામે નિર્ભરતા મૂંઝવણ હુમલાઓ. ઝુંબેશ સ્વચાલિત અને સતત છે. સાપ્તાહિક સ્કેન એ બચાવ નથી.

ઝાયજેની પ્રારંભિક માલવેર ચેતવણી npm, PyPI અને અન્ય રજિસ્ટ્રીઓનું રીઅલ ટાઇમમાં નિરીક્ષણ કરે છે, પ્રકાશન સમયે, બિલ્ડ સુધી પહોંચે તે પહેલાં, AI એજન્ટ તેમને સ્વાયત્ત રીતે ઇન્સ્ટોલ કરે તે પહેલાં અને SkillLeak-શૈલીના પેલોડને એક્ઝિક્યુટ કરવાની તક મળે તે પહેલાં ધમકીઓને ફ્લેગ કરે છે. જ્યારે anthropic-toolkit એક જ દિવસમાં 20 આવૃત્તિઓ પ્રકાશિત કરે છે અથવા cursed-modules બે દિવસ સુધી npm માં 999.x વર્ઝન ભરાઈ જાય છે, હકીકત પછી શોધ ખૂબ મોડું થઈ ગયું છે.

ક્ષયગેનીસ Open Source Security પ્લેટફોર્મ DevSecOps ટીમોને સંકલિત સપ્લાય ચેઇન દબાણથી આગળ રહેવા માટે જરૂરી રીઅલ-ટાઇમ શોધ અને પ્રાથમિકતા આપે છે, જેથી તમારા pipelineતમારી ટીમોને ધીમી પાડ્યા વિના સ્વચ્છ રહો.

સ્કા-ટૂલ્સ-સોફ્ટવેર-રચના-વિશ્લેષણ-ટૂલ્સ
તમારા સોફ્ટવેર જોખમોને પ્રાથમિકતા આપો, સુધારણા કરો અને સુરક્ષિત કરો
તમારું મફત ખાતું મેળવો.
કોઈ ક્રેડિટ કાર્ડ જરૂરી નથી.

તમારા સોફ્ટવેર ડેવલપમેન્ટ અને ડિલિવરી સુરક્ષિત કરો

ઝાયજેની પ્રોડક્ટ સ્યુટ સાથે