მავნე კოდის დაიჯესტი 77

Xygeni-ის მავნე კოდის დაიჯესტი 77

სარჩევი

აუცილებლად წასაკითხი პოსტები

ხელოვნური ინვენტარიზაციის პროგრამული უზრუნველყოფა
რა არის ხელოვნური ინვენტარი? პრაქტიკული სახელმძღვანელო ხელოვნური ინტელექტის აქტივების აღმოჩენის, ხელოვნური ინტელექტის აქტივების ძიების, ხელოვნური ინტელექტის აქტივების ძიების და ჩრდილოვანი ხელოვნური ინტელექტის შესახებ.

საინტერესო უახლესი პოსტები

Ყოველ კვირაჩვენი მავნე პროგრამების აღმოჩენის სისტემები სკანირებენ ათასობით ახალ და განახლებულ პაკეტს საჯარო რეესტრებში, როგორიცაა npm და PyPI. ეს კვირაც არ იყო გამონაკლისი.

2026 წლის 26 ივნისიდან 3 ივლისამდე პერიოდში npm-სა და PyPI-ში 90-ზე მეტი მავნე პაკეტის არსებობა დავადასტურეთ, რამდენიმე წინა კვირების კამპანია გაგრძელდა და ახალი კამპანიებიც გამოჩნდა.

ის nolimit-agent კამპანია აგრძელებდა ახალი ვერსიების (1.0.306, 1.0.315, 1.0.316) გამოქვეყნებას, რითაც აფართოებდა Microsoft 365 მოწყობილობის კოდის ფიშინგის ჩარჩოს, რომელიც დეტალურად იყო დოკუმენტირებული ჩვენს DeviceDoor-ის ანგარიში. anthropic-toolkit კლასტერი დომინანტური ახალი კამპანია იყო, მხოლოდ 30 ივნისს დადასტურდა 20 ვერსია — პირდაპირ მიმართული Anthropic-ის დეველოპერების ინსტრუმენტებთან დაკავშირებულ პაკეტებზე. cursed-modules ოჯახმა 1-დან 2 ივლისამდე 15-ზე მეტი ვერსია გამოაქვეყნა ორივე ქვეყანაში. standard და გაბერილი ვერსიის ნომრები (999.x), დამოკიდებულების დაბნეულობის სახელმძღვანელოს შესაბამისად. date-fns-lite კლასტერმა (5 ვერსია, 2 ივლისი) განაგრძო ლეგიტიმური, ფართოდ გამოყენებული კომუნალური პაკეტების იმიტაციის ტენდენცია.

ხელოვნური ინტელექტის ინსტრუმენტების მიზნობრივი ნიმუში, რომელიც გასულ კვირას შეიქმნა ollama-helpers მდე openai-agents-helpers ამ პერიოდში გაგრძელდა ai-explain, ai-sdk-helpersდა @langgraphjs/toolkit, ყველა დადასტურდა 28 ივნისიდან 30 ივნისამდე პერიოდში. @szc-ft/mcp-szcd-client პაკეტმა (ვერსიები 0.38.0 და 0.39.0, დადასტურებულია 2 ივლისს) წარმოადგინა ახალი ნიმუში, რომელსაც ჩვენ ვაკვირდებით, როგორც SkillLeak: ავტორიზაციის გაშიფვრა, რომელიც დამალულია MCP უნარში ინსტალაციის კაუჭის ნაცვლად, უხილავია სკანერებისთვის, რომლებიც ინსტალაციის შემდეგ ჩერდებიან. ჩვენ გამოვაქვეყნეთ SkillLeak-ის სრული ანალიზი აქ.

ეს ყოველკვირეული მიმოხილვა ჩვენი მიმდინარე გეგმის ნაწილია მავნე კოდის დაიჯესტი, სადაც ჩვენ ვამოწმებთ ახალ საფრთხეებს და ვაწვდით ქმედით ინტელექტს, რათა დავეხმაროთ DevSecOps გუნდებს დაიცვან თავიანთი pipelineდაზიანების მოხდენამდე. მოდით, განვიხილოთ, რა აღმოვაჩინეთ ამ კვირაში და რატომ არის ეს მნიშვნელოვანი.

ეკოსისტემა პაკეტი დადასტურებული
npm@miraiva_test/skill-order-export:0.3.0Jun 26, 2026
npminnxt-mini-app-sdk:1.0.0Jun 26, 2026
npmsysverify:1.0.9Jun 27, 2026
npm@k18n/creatormarketplace-admin-language:99.0.0Jun 28, 2026
npmანთროპული-შინაგანი-ინსტრუმენტები:1.0.0Jun 28, 2026
npmანთროპული-შინაგანი-ინსტრუმენტები:1.0.1Jun 28, 2026
npmopenai-აგენტების დამხმარეები:1.3.2Jun 28, 2026
npm@langgraphjs/toolkit:1.2.12Jun 28, 2026
npmai-sdk-დამხმარეები: 1.4.4Jun 28, 2026
npmოლამა-დამხმარეები: 1.2.2Jun 28, 2026
npmai-ახსნა:0.3.3Jun 28, 2026
npmai-ახსნა:0.3.4Jun 28, 2026
პიპიtdata-grabber:1.0.0Jun 28, 2026
npm@vpms/design-system:1.1.2Jun 29, 2026
npm@vpms/design-system:1.0.1Jun 29, 2026
npm@vpms/design-system:0.1.3Jun 29, 2026
npmსახიფათო-მავნე-პაკეტი:1.0.0Jun 29, 2026
npmსახიფათო-მავნე-პაკეტი:1.0.2Jun 29, 2026
npmსახიფათო-მავნე-პაკეტი:1.0.4Jun 29, 2026
npmსახიფათო-მავნე-პაკეტი:1.0.6Jun 29, 2026
npmსახიფათო-მავნე-პაკეტი:1.0.8Jun 29, 2026
npmსახიფათო-მავნე-პაკეტი:1.0.9Jun 29, 2026
npmსახიფათო-მავნე-პაკეტი:2.0.0Jun 29, 2026
npmსახიფათო-მავნე-პაკეტი:2.0.1Jun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.5-pentestJun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.9-pentestJun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.7-pentestJun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11-pentestJun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11Jun 29, 2026
npmts-einkle:1.1.3Jun 29, 2026
npmvkzmn:1.0.6Jun 29, 2026
npmlivekit-ის აგენტები:0.3.4Jun 30, 2026
npmნოლიმიტის აგენტი: 1.0.306Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.3.0Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.4.0Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.3.1Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:1.0.0Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:1.1.1Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:1.2.1Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.9.0Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.5.0Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:1.1.0Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.7.0Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.5.1Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:1.2.0Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.8.0Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:1.0.1Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:1.3.0Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.6.0Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.2.0Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.1.1Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.2.1Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.4.1Jun 30, 2026
npmანთროპული-ინსტრუმენტარიუმი:0.1.0Jun 30, 2026
npmრიპშაკტი:80.0.0Jun 30, 2026
npm@sudoughnym/enviro-demo:0.3.3Jul 1, 2026
npm@sudoughnym/enviro-demo:99.99.99Jul 1, 2026
npmრიპშაკტი1:81.0.0Jul 1, 2026
npmvue-demi-fix:10.0.4Jul 1, 2026
npmeslint-angular-react:110.0.1Jul 1, 2026
npmvue-demi-fix:10.0.5Jul 1, 2026
npmექტო-კორსარის დროშა-7kq3mz:1.0.2Jul 1, 2026
npmთანავარსკვლავედები: 0.5.1Jul 1, 2026
npmთანავარსკვლავედები: 0.5.0Jul 1, 2026
npmთანავარსკვლავედები: 0.4.0Jul 1, 2026
npmთანავარსკვლავედები: 0.3.12Jul 1, 2026
npmდაწყევლილი მოდულები: 2.0.0Jul 1, 2026
npmდაწყევლილი მოდულები: 999.0.0Jul 1, 2026
npmმოდულის ინდექსის ქეში: 1.0.2Jul 1, 2026
npmდაწყევლილი მოდულები: 999.0.1Jul 1, 2026
npmდაწყევლილი მოდულები: 999.0.2Jul 1, 2026
npmდაწყევლილი მოდულები: 999.0.3Jul 1, 2026
npmდაწყევლილი მოდულები: 999.0.4Jul 1, 2026
npmდაწყევლილი მოდულები: 999.0.5Jul 1, 2026
npmდაწყევლილი მოდულები: 999.0.6Jul 1, 2026
npmდაწყევლილი მოდულები: 999.0.7Jul 1, 2026
npmდაწყევლილი მოდულები: 999.0.8Jul 1, 2026
npmდაწყევლილი მოდულები: 999.0.9Jul 1, 2026
npmდაწყევლილი მოდულები: 999.1.0Jul 1, 2026
npmდაწყევლილი მოდულები: 999.1.1Jul 1, 2026
npmდაწყევლილი მოდულები: 999.1.2Jul 1, 2026
npmდაწყევლილი მოდულები: 1.0.1Jul 1, 2026
npmდაწყევლილი მოდულები: 1.0.4Jul 1, 2026
npmდაწყევლილი მოდულები: 1.0.5Jul 1, 2026
npmდაწყევლილი მოდულები: 1.0.6Jul 1, 2026
npmდაწყევლილი მოდულები: 1.0.7Jul 1, 2026
npmდაწყევლილი მოდულები: 1.0.8Jul 1, 2026
npmpp-react-v5:30.0.1Jul 1, 2026
npmpp-react-v5:30.0.2Jul 1, 2026
npm@blue-repository/types:1.2.4-rc.0Jul 2, 2026
npm@leju-gym/gym-cli:1.0.7Jul 2, 2026
npmმომხმარებლის ვებგვერდი: 2200.4.2Jul 2, 2026
npm@szc-ft/mcp-szcd-client:0.38.0Jul 2, 2026
npmlogger-deemon-regex:1.0.124Jul 2, 2026
npm@easypayment/medusa-paypal:0.7.6Jul 2, 2026
npmdl-pp-latm:80.4.2Jul 2, 2026
npm@szc-ft/mcp-szcd-client:0.39.0Jul 2, 2026
npmთარიღი-fns-lite:1.0.3Jul 2, 2026
npmთარიღი-fns-lite:1.0.4Jul 2, 2026
npmთარიღი-fns-lite:1.0.5Jul 2, 2026
npmთარიღი-fns-lite:1.0.6Jul 2, 2026
npmთარიღი-fns-lite:1.0.9Jul 2, 2026
npmნოლიმიტის აგენტი: 1.0.315Jul 2, 2026
npmნოლიმიტის აგენტი: 1.0.316Jul 2, 2026
npmდაწყევლილი-ecto-d3ab00:1.0.0Jul 3, 2026
npm@checkrhq/adjudication-api-client:0.0.2Jul 3, 2026

90+ პაკეტი. ერთი კვირა. Pipeline სამიზნეა.

ამ კვირის დაიჯესტი ასახავს თავდამსხმელის ფოკუსის ცვლილებას, არა მხოლოდ მოცულობის, არამედ წინასწარი მომზადების ცვლილებას.cision. ვერსიების მდგრადი დატბორვა, ხელოვნური ინტელექტის ხელსაწყოების კლასტერები, MCP-ფენის სერთიფიკატების მოპარვა და დამოკიდებულების დაბნეულობის შეტევები შიდა მონორეპო სახელთა სივრცეების წინააღმდეგ. კამპანიები ავტომატიზირებული და უწყვეტია. ყოველკვირეული სკანირება არ არის თავდაცვის საშუალება.

Xygeni-ის ადრეული მავნე პროგრამების გაფრთხილება რეალურ დროში აკონტროლებს npm-ს, PyPI-ს და სხვა რეესტრებს, აფიქსირებს საფრთხეებს გამოქვეყნების მომენტში, სანამ ისინი აწყობის ეტაპზე მოხვდებიან, სანამ ხელოვნური ინტელექტის აგენტი მათ ავტონომიურად დააინსტალირებს და სანამ SkillLeak-ის სტილის დატვირთვას შესრულების შანსი ექნება. anthropic-toolkit ერთ დღეში 20 ვერსიას აქვეყნებს ან cursed-modules npm-ს 999.x ვერსიით ორი დღის განმავლობაში ტბორავს, ფაქტის შემდეგ გაშვებული აღმოჩენა უკვე გვიანია.

ქსიგენი Open Source Security პლატფორმა DevSecOps გუნდებს აძლევს რეალურ დროში აღმოჩენისა და პრიორიტეტების განსაზღვრის საშუალებას, რაც საჭიროა მიწოდების ჯაჭვის კოორდინირებული ზეწოლის წინ დასარჩენად, ამიტომ თქვენი pipelineშეინარჩუნეთ სისუფთავე თქვენი გუნდების შენელების გარეშე.

sca-tools-software-composition-analysis-tools
თქვენი პროგრამული უზრუნველყოფის რისკების პრიორიტეტიზაცია, გამოსწორება და დაცვა
მიიღეთ თქვენი უფასო ანგარიში.
საკრედიტო ბარათი არ არის საჭირო.

უზრუნველყავით თქვენი პროგრამული უზრუნველყოფის შემუშავება და მიწოდება

Xygeni Product Suite-თან ერთად