दुर्भावनापूर्ण कोड डाइजेस्ट 77

Xygeni दुर्भावनापूर्ण कोड डाइजेस्ट 77

विषय - सूची

अवश्य पढ़ें पोस्ट

रुचि के नवीनतम पोस्ट

प्रति सप्ताहहमारे मैलवेयर डिटेक्शन सिस्टम npm और PyPI जैसी सार्वजनिक रजिस्ट्रियों में हजारों नए और अपडेट किए गए पैकेजों को स्कैन करते हैं। यह सप्ताह भी इसका अपवाद नहीं था।

हमने 26 जून से 3 जुलाई, 2026 के बीच npm और PyPI पर 90 से अधिक दुर्भावनापूर्ण पैकेजों की पुष्टि की, जिनमें से कई अभियान पिछले हफ्तों से जारी थे और नए अभियान सामने आए।

RSI nolimit-agent अभियान ने नए संस्करण (1.0.306, 1.0.315, 1.0.316) प्रकाशित करना जारी रखा, जिससे Microsoft 365 डिवाइस-कोड फ़िशिंग फ्रेमवर्क का विस्तार हुआ, जिसका हमने अपने विस्तृत दस्तावेजीकरण में वर्णन किया है। डिवाइसडोर रिपोर्टanthropic-toolkit क्लस्टर प्रमुख नया अभियान था, जिसके 20 संस्करणों की पुष्टि अकेले 30 जून को हुई थी - जो सीधे तौर पर एंथ्रोपिक के डेवलपर टूलिंग से जुड़े पैकेजों को लक्षित कर रहा था। cursed-modules परिवार ने 1 जुलाई से 2 जुलाई के बीच दोनों माध्यमों पर 15 से अधिक संस्करण प्रकाशित किए। standard और निर्भरता संबंधी भ्रम की रणनीति का पालन करते हुए, संस्करण संख्याएँ (999.x) बढ़ा दी गईं। date-fns-lite क्लस्टर (5 संस्करण, 2 जुलाई) ने वैध, व्यापक रूप से उपयोग किए जाने वाले यूटिलिटी पैकेजों का प्रतिरूपण करने के पैटर्न को जारी रखा।

पिछले सप्ताह स्थापित एआई टूलिंग लक्ष्यीकरण पैटर्न के साथ ollama-helpers और openai-agents-helpers इस अवधि में विस्तारित हुआ ai-explain, ai-sdk-helpers, तथा @langgraphjs/toolkitये सभी मामले 28 जून से 30 जून के बीच पुष्टि किए गए। @szc-ft/mcp-szcd-client पैकेज (संस्करण 0.38.0 और 0.39.0, 2 जुलाई को पुष्टि की गई) ने एक नया पैटर्न पेश किया है जिसे हम ट्रैक कर रहे हैं। स्किललीकएक क्रेडेंशियल डिक्रिप्टर जो इंस्टॉल हुक के बजाय एमसीपी स्किल के अंदर छिपा हुआ है, और पोस्टइंस्टॉल पर रुकने वाले स्कैनर्स के लिए अदृश्य है। हमने इसे प्रकाशित किया है। स्किललीक का पूरा विश्लेषण यहां देखें.

यह साप्ताहिक स्नैपशॉट हमारी चल रही श्रृंखला का हिस्सा है। दुर्भावनापूर्ण कोड डाइजेस्टजहां हम नए खतरों का सत्यापन करते हैं और डेवसेकऑप्स टीमों को उनकी सुरक्षा में मदद करने के लिए कार्रवाई योग्य जानकारी प्रदान करते हैं। pipelineनुकसान होने से पहले ही। आइए इस सप्ताह हमने जो पाया और यह क्यों महत्वपूर्ण है, इस पर विस्तार से चर्चा करें।

पारिस्थितिकी तंत्र पैकेज की पुष्टि की
NPM@miraiva_test/skill-order-export:0.3.0जून 26, 2026
NPMinnxt-mini-app-sdk:1.0.0जून 26, 2026
NPMsysverify:1.0.9जून 27, 2026
NPM@k18n/creatormarketplace-admin-language:99.0.0जून 28, 2026
NPMएंथ्रोपिक-इंटरनल-टूल्स:1.0.0जून 28, 2026
NPMएंथ्रोपिक-इंटरनल-टूल्स:1.0.1जून 28, 2026
NPMओपनएआई-एजेंट-हेल्पर्स:1.3.2जून 28, 2026
NPM@langgraphjs/toolkit:1.2.12जून 28, 2026
NPMएआई-एसडीके-हेल्पर्स:1.4.4जून 28, 2026
NPMओलामा-सहायक:1.2.2जून 28, 2026
NPMएआई-एक्सप्लेन:0.3.3जून 28, 2026
NPMएआई-एक्सप्लेन:0.3.4जून 28, 2026
पिपीtdata-grabber:1.0.0जून 28, 2026
NPM@vpms/design-system:1.1.2जून 29, 2026
NPM@vpms/design-system:1.0.1जून 29, 2026
NPM@vpms/design-system:0.1.3जून 29, 2026
NPMअसुरक्षित-दुर्भावनापूर्ण-पैकेज:1.0.0जून 29, 2026
NPMअसुरक्षित-दुर्भावनापूर्ण-पैकेज:1.0.2जून 29, 2026
NPMअसुरक्षित-दुर्भावनापूर्ण-पैकेज:1.0.4जून 29, 2026
NPMअसुरक्षित-दुर्भावनापूर्ण-पैकेज:1.0.6जून 29, 2026
NPMअसुरक्षित-दुर्भावनापूर्ण-पैकेज:1.0.8जून 29, 2026
NPMअसुरक्षित-दुर्भावनापूर्ण-पैकेज:1.0.9जून 29, 2026
NPMअसुरक्षित-दुर्भावनापूर्ण-पैकेज:2.0.0जून 29, 2026
NPMअसुरक्षित-दुर्भावनापूर्ण-पैकेज:2.0.1जून 29, 2026
NPM@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.5-pentestजून 29, 2026
NPM@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.9-pentestजून 29, 2026
NPM@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.7-pentestजून 29, 2026
NPM@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11-pentestजून 29, 2026
NPM@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11जून 29, 2026
NPMts-einkle:1.1.3जून 29, 2026
NPMvkzmn:1.0.6जून 29, 2026
NPMलाइवकिट-एजेंट्स:0.3.4जून 30, 2026
NPMनोलिमिट-एजेंट:1.0.306जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.3.0जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.4.0जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.3.1जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:1.0.0जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:1.1.1जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:1.2.1जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.9.0जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.5.0जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:1.1.0जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.7.0जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.5.1जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:1.2.0जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.8.0जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:1.0.1जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:1.3.0जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.6.0जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.2.0जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.1.1जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.2.1जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.4.1जून 30, 2026
NPMएंथ्रोपिक-टूलकिट:0.1.0जून 30, 2026
NPMripshakti:80.0.0जून 30, 2026
NPM@sudoughnym/enviro-demo:0.3.3जुलाई 1, 2026
NPM@sudoughnym/enviro-demo:99.99.99जुलाई 1, 2026
NPMripshakti1:81.0.0जुलाई 1, 2026
NPMvue-demi-fix:10.0.4जुलाई 1, 2026
NPMeslint-angular-react:110.0.1जुलाई 1, 2026
NPMvue-demi-fix:10.0.5जुलाई 1, 2026
NPMecto-corsair-flag-7kq3mz:1.0.2जुलाई 1, 2026
NPMconstellai:0.5.1जुलाई 1, 2026
NPMconstellai:0.5.0जुलाई 1, 2026
NPMconstellai:0.4.0जुलाई 1, 2026
NPMconstellai:0.3.12जुलाई 1, 2026
NPMशापित-मॉड्यूल:2.0.0जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.0.0जुलाई 1, 2026
NPMमॉड्यूल-इंडेक्स-कैश:1.0.2जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.0.1जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.0.2जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.0.3जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.0.4जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.0.5जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.0.6जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.0.7जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.0.8जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.0.9जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.1.0जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.1.1जुलाई 1, 2026
NPMशापित-मॉड्यूल:999.1.2जुलाई 1, 2026
NPMशापित-मॉड्यूल:1.0.1जुलाई 1, 2026
NPMशापित-मॉड्यूल:1.0.4जुलाई 1, 2026
NPMशापित-मॉड्यूल:1.0.5जुलाई 1, 2026
NPMशापित-मॉड्यूल:1.0.6जुलाई 1, 2026
NPMशापित-मॉड्यूल:1.0.7जुलाई 1, 2026
NPMशापित-मॉड्यूल:1.0.8जुलाई 1, 2026
NPMपीपी-रिएक्ट-वी5:30.0.1जुलाई 1, 2026
NPMपीपी-रिएक्ट-वी5:30.0.2जुलाई 1, 2026
NPM@blue-repository/types:1.2.4-rc.0जुलाई 2, 2026
NPM@leju-gym/gym-cli:1.0.7जुलाई 2, 2026
NPMउपभोक्तावेब:2200.4.2जुलाई 2, 2026
NPM@szc-ft/mcp-szcd-client:0.38.0जुलाई 2, 2026
NPMलॉगर-डेमन-रेगेक्स:1.0.124जुलाई 2, 2026
NPM@easypayment/medusa-paypal:0.7.6जुलाई 2, 2026
NPMडीएल-पीपी-लैटम:80.4.2जुलाई 2, 2026
NPM@szc-ft/mcp-szcd-client:0.39.0जुलाई 2, 2026
NPMदिनांक-एफएनएस-लाइट:1.0.3जुलाई 2, 2026
NPMदिनांक-एफएनएस-लाइट:1.0.4जुलाई 2, 2026
NPMदिनांक-एफएनएस-लाइट:1.0.5जुलाई 2, 2026
NPMदिनांक-एफएनएस-लाइट:1.0.6जुलाई 2, 2026
NPMदिनांक-एफएनएस-लाइट:1.0.9जुलाई 2, 2026
NPMनोलिमिट-एजेंट:1.0.315जुलाई 2, 2026
NPMनोलिमिट-एजेंट:1.0.316जुलाई 2, 2026
NPMशापित-एक्टो-डी3एबी00:1.0.0जुलाई 3, 2026
NPM@checkrhq/adjudication-api-client:0.0.2जुलाई 3, 2026

90+ पैकेज। एक सप्ताह। Pipeline यही लक्ष्य है।

इस सप्ताह के सारांश में हमलावरों के ध्यान में आए बदलाव को दर्शाया गया है, न केवल मात्रा के मामले में, बल्कि पूर्व-आपातकालीन हमलों के मामले में भी।cisनिरंतर संस्करण घुसपैठ, एआई टूलिंग क्लस्टर, एमसीपी-लेयर क्रेडेंशियल चोरी और आंतरिक मोनोरेपो नेमस्पेस के खिलाफ निर्भरता भ्रम हमले। ये अभियान स्वचालित और निरंतर हैं। साप्ताहिक स्कैन बचाव नहीं है।

Xygeni प्रारंभिक मैलवेयर चेतावनी यह npm, PyPI और अन्य रजिस्ट्रियों की वास्तविक समय में निगरानी करता है, प्रकाशन के समय ही खतरों को चिह्नित करता है, इससे पहले कि वे किसी बिल्ड तक पहुंचें, इससे पहले कि कोई AI एजेंट उन्हें स्वचालित रूप से स्थापित करे, और इससे पहले कि SkillLeak-शैली के पेलोड को निष्पादित होने का मौका मिले। anthropic-toolkit एक ही दिन में 20 संस्करण प्रकाशित करता है या cursed-modules दो दिनों में npm पर संस्करण 999.x की बाढ़ आ जाती है, घटना के बाद पता लगाने का प्रयास पहले ही बहुत देर हो चुकी होती है।

ज़ाइगेनी का Open Source Security यह प्लेटफॉर्म DevSecOps टीमों को समन्वित आपूर्ति श्रृंखला दबाव से आगे रहने के लिए आवश्यक वास्तविक समय में पता लगाने और प्राथमिकता देने की सुविधा प्रदान करता है, ताकि आपका pipelineअपनी टीम की गति धीमी किए बिना साफ-सफाई बनाए रखें।

एससीए-टूल्स-सॉफ्टवेयर-कंपोजिशन-एनालिसिस-टूल्स
अपने सॉफ़्टवेयर जोखिमों को प्राथमिकता दें, उनका निवारण करें और उन्हें सुरक्षित करें।
अपना निःशुल्क खाता प्राप्त करें।
किसी क्रेडिट कार्ड की आवश्यकता नहीं।

अपने सॉफ़्टवेयर विकास और वितरण को सुरक्षित करें

Xygeni प्रोडक्ट सूट के साथ