Ամեն շաբաթ, մեր վնասակար ծրագրերի հայտնաբերման համակարգերը սկանավորում են հազարավոր նոր և թարմացված փաթեթներ հանրային գրանցամատյաններում, ինչպիսիք են npm-ը և PyPI-ը: Այս շաբաթը բացառություն չէր:
2026 թվականի հունիսի 26-ից հուլիսի 3-ը npm-ում և PyPI-ում մենք հաստատեցինք ավելի քան 90 վնասակար փաթեթ, որոնցից մի քանիսը շարունակվել են նախորդ շաբաթների ընթացքում, և ի հայտ են եկել նորերը։
nolimit-agent արշավը շարունակեց հրապարակել նոր տարբերակներ (1.0.306, 1.0.315, 1.0.316), ընդլայնելով Microsoft 365 սարքի կոդի ֆիշինգի շրջանակը, որը մենք մանրամասնորեն փաստաթղթավորել ենք մեր DeviceDoor հաշվետվություն. The anthropic-toolkit կլաստերը գերիշխող նոր արշավն էր, որի 20 տարբերակ հաստատվել էր միայն հունիսի 30-ին՝ ուղղակիորեն թիրախավորելով Anthropic-ի մշակողների գործիքակազմի հետ կապված փաթեթները։ cursed-modules ընտանիքը հուլիսի 1-ից 2-ը հրապարակել է ավելի քան 15 տարբերակ երկու երկրներում էլ standard և չափազանցված տարբերակների համարներ (999.x), հետևելով կախվածության խառնաշփոթի խաղային ձեռնարկին։ date-fns-lite կլաստերը (5 տարբերակ, հուլիսի 2) շարունակեց օրինական, լայնորեն օգտագործվող օգտակար փաթեթներ կեղծելու սխեման։
Արհեստական բանականության գործիքավորման թիրախավորման ձևը, որը հաստատվել է անցյալ շաբաթ, ollama-helpers և openai-agents-helpers երկարաձգվեց այս ժամանակահատվածում ai-explain, ai-sdk-helpers, եւ @langgraphjs/toolkit, բոլորը հաստատվել են հունիսի 28-ից 30-ը ընկած ժամանակահատվածում։ @szc-ft/mcp-szcd-client փաթեթը (տարբերակներ 0.38.0 և 0.39.0, հաստատված հուլիսի 2-ին) ներկայացրեց նոր օրինաչափություն, որը մենք հետևում ենք որպես SkillLeak: MCP հմտության մեջ թաքնված հավատարմագրերի վերծանիչ, այլ ոչ թե տեղադրման կեռիկ, անտեսանելի է սկաներների համար, որոնք կանգ են առնում հետինստալյացիայի ժամանակ: Մենք հրապարակեցինք SkillLeak-ի ամբողջական վերլուծությունը այստեղ է։.
Այս շաբաթական լուսանկարը մեր շարունակական աշխատանքների մի մասն է կազմում Վնասակար կոդի համառոտագիր, որտեղ մենք ստուգում ենք նոր սպառնալիքները և տրամադրում գործնականում կիրառելի հետախուզություն՝ DevSecOps թիմերին օգնելու պաշտպանել իրենց pipelineվնասից առաջ։ Եկեք վերլուծենք այս շաբաթվա մեր գտածը և թե ինչու է դա կարևոր։
90+ փաթեթ։ Մեկ շաբաթ։ Pipeline Նպատակն է։
Այս շաբաթվա ամփոփագիրը արտացոլում է հարձակվողի ուշադրության կենտրոնացման փոփոխությունը, ոչ միայն ծավալը, այլև նախնական գնահատականը։cisիոն։ Կայուն տարբերակների ջրհեղեղ, արհեստական բանականության գործիքակազմի կլաստերներ, MCP շերտի հավատարմագրերի գողություն և կախվածության խառնաշփոթի հարձակումներ ներքին մոնոռեպո անվանատարածքների դեմ։ Արշավները ավտոմատացված են և շարունակական։ Շաբաթական սկանավորումը պաշտպանություն չէ։
Xygeni-ի վաղ վնասակար ծրագրերի նախազգուշացում Իրական ժամանակում վերահսկում է npm-ը, PyPI-ն և այլ գրանցամատյանները՝ նշելով սպառնալիքները հրապարակման պահին, նախքան դրանք կհասնեն կառուցվածքին, նախքան արհեստական բանականության գործակալը ինքնուրույն կտեղադրի դրանք և նախքան SkillLeak ոճի բեռը հնարավորություն կունենա գործարկվելու։ Երբ anthropic-toolkit մեկ օրում հրատարակում է 20 տարբերակ կամ cursed-modules npm-ը երկու օրվա ընթացքում ողողում է 999.x տարբերակը, փաստից հետո իրականացվող հայտնաբերումն արդեն ուշ է։
Քսիգենիի Open Source Security հարթակը DevSecOps թիմերին տալիս է իրական ժամանակում հայտնաբերում և առաջնահերթություն, որը անհրաժեշտ է համակարգված մատակարարման շղթայի ճնշումից առաջ մնալու համար, որպեսզի ձեր pipelineմնացեք մաքուր՝ առանց ձեր թիմերին դանդաղեցնելու։




