Ყოველ კვირაჩვენი მავნე პროგრამების აღმოჩენის სისტემები სკანირებენ ათასობით ახალ და განახლებულ პაკეტს საჯარო რეესტრებში, როგორიცაა npm და PyPI. ეს კვირაც არ იყო გამონაკლისი.
2026 წლის 26 ივნისიდან 3 ივლისამდე პერიოდში npm-სა და PyPI-ში 90-ზე მეტი მავნე პაკეტის არსებობა დავადასტურეთ, რამდენიმე წინა კვირების კამპანია გაგრძელდა და ახალი კამპანიებიც გამოჩნდა.
ის nolimit-agent კამპანია აგრძელებდა ახალი ვერსიების (1.0.306, 1.0.315, 1.0.316) გამოქვეყნებას, რითაც აფართოებდა Microsoft 365 მოწყობილობის კოდის ფიშინგის ჩარჩოს, რომელიც დეტალურად იყო დოკუმენტირებული ჩვენს DeviceDoor-ის ანგარიში. anthropic-toolkit კლასტერი დომინანტური ახალი კამპანია იყო, მხოლოდ 30 ივნისს დადასტურდა 20 ვერსია — პირდაპირ მიმართული Anthropic-ის დეველოპერების ინსტრუმენტებთან დაკავშირებულ პაკეტებზე. cursed-modules ოჯახმა 1-დან 2 ივლისამდე 15-ზე მეტი ვერსია გამოაქვეყნა ორივე ქვეყანაში. standard და გაბერილი ვერსიის ნომრები (999.x), დამოკიდებულების დაბნეულობის სახელმძღვანელოს შესაბამისად. date-fns-lite კლასტერმა (5 ვერსია, 2 ივლისი) განაგრძო ლეგიტიმური, ფართოდ გამოყენებული კომუნალური პაკეტების იმიტაციის ტენდენცია.
ხელოვნური ინტელექტის ინსტრუმენტების მიზნობრივი ნიმუში, რომელიც გასულ კვირას შეიქმნა ollama-helpers მდე openai-agents-helpers ამ პერიოდში გაგრძელდა ai-explain, ai-sdk-helpersდა @langgraphjs/toolkit, ყველა დადასტურდა 28 ივნისიდან 30 ივნისამდე პერიოდში. @szc-ft/mcp-szcd-client პაკეტმა (ვერსიები 0.38.0 და 0.39.0, დადასტურებულია 2 ივლისს) წარმოადგინა ახალი ნიმუში, რომელსაც ჩვენ ვაკვირდებით, როგორც SkillLeak: ავტორიზაციის გაშიფვრა, რომელიც დამალულია MCP უნარში ინსტალაციის კაუჭის ნაცვლად, უხილავია სკანერებისთვის, რომლებიც ინსტალაციის შემდეგ ჩერდებიან. ჩვენ გამოვაქვეყნეთ SkillLeak-ის სრული ანალიზი აქ.
ეს ყოველკვირეული მიმოხილვა ჩვენი მიმდინარე გეგმის ნაწილია მავნე კოდის დაიჯესტი, სადაც ჩვენ ვამოწმებთ ახალ საფრთხეებს და ვაწვდით ქმედით ინტელექტს, რათა დავეხმაროთ DevSecOps გუნდებს დაიცვან თავიანთი pipelineდაზიანების მოხდენამდე. მოდით, განვიხილოთ, რა აღმოვაჩინეთ ამ კვირაში და რატომ არის ეს მნიშვნელოვანი.
90+ პაკეტი. ერთი კვირა. Pipeline სამიზნეა.
ამ კვირის დაიჯესტი ასახავს თავდამსხმელის ფოკუსის ცვლილებას, არა მხოლოდ მოცულობის, არამედ წინასწარი მომზადების ცვლილებას.cision. ვერსიების მდგრადი დატბორვა, ხელოვნური ინტელექტის ხელსაწყოების კლასტერები, MCP-ფენის სერთიფიკატების მოპარვა და დამოკიდებულების დაბნეულობის შეტევები შიდა მონორეპო სახელთა სივრცეების წინააღმდეგ. კამპანიები ავტომატიზირებული და უწყვეტია. ყოველკვირეული სკანირება არ არის თავდაცვის საშუალება.
Xygeni-ის ადრეული მავნე პროგრამების გაფრთხილება რეალურ დროში აკონტროლებს npm-ს, PyPI-ს და სხვა რეესტრებს, აფიქსირებს საფრთხეებს გამოქვეყნების მომენტში, სანამ ისინი აწყობის ეტაპზე მოხვდებიან, სანამ ხელოვნური ინტელექტის აგენტი მათ ავტონომიურად დააინსტალირებს და სანამ SkillLeak-ის სტილის დატვირთვას შესრულების შანსი ექნება. anthropic-toolkit ერთ დღეში 20 ვერსიას აქვეყნებს ან cursed-modules npm-ს 999.x ვერსიით ორი დღის განმავლობაში ტბორავს, ფაქტის შემდეგ გაშვებული აღმოჩენა უკვე გვიანია.
ქსიგენი Open Source Security პლატფორმა DevSecOps გუნდებს აძლევს რეალურ დროში აღმოჩენისა და პრიორიტეტების განსაზღვრის საშუალებას, რაც საჭიროა მიწოდების ჯაჭვის კოორდინირებული ზეწოლის წინ დასარჩენად, ამიტომ თქვენი pipelineშეინარჩუნეთ სისუფთავე თქვენი გუნდების შენელების გარეშე.




