Әр аптада, біздің зиянды бағдарламаларды анықтау жүйелеріміз npm және PyPI сияқты қоғамдық тізілімдердегі мыңдаған жаңа және жаңартылған пакеттерді сканерлейді. Бұл апта да ерекшелік болған жоқ.
Біз 2026 жылдың 26 маусымы мен 3 шілдесі аралығында npm және PyPI арқылы 90-нан астам зиянды пакетті растадық, алдыңғы апталардан бері бірнеше науқан жалғасып, жаңалары пайда болды.
The nolimit-agent науқан жаңа нұсқаларын (1.0.306, 1.0.315, 1.0.316) жариялауды жалғастырды, біз өз мақаламызда егжей-тегжейлі құжаттаған Microsoft 365 құрылғы кодының фишингтік құрылымын кеңейтті. DeviceDoor есебі. The anthropic-toolkit cluster жаңа науқанның басым бөлігі болды, тек 30 маусымда ғана 20 нұсқасы расталды — олар Anthropic әзірлеушілерінің құралдарымен байланысты пакеттерге тікелей бағытталған. cursed-modules отбасы 1 шілде мен 2 шілде аралығында екі жақта да 15-тен астам нұсқасын жариялады standard және тәуелділік шатасуы бойынша нұсқаулыққа сәйкес нұсқа нөмірлері (999.x) көбейтілген. date-fns-lite кластер (5 нұсқасы, 2 шілде) заңды, кеңінен қолданылатын коммуналдық пакеттерді еліктеу үлгісін жалғастырды.
Өткен аптада жасанды интеллект құралдарын мақсатты пайдалану үлгісі белгіленді ollama-helpers және openai-agents-helpers осы кезеңге дейін ұзартылды ai-explain, ai-sdk-helpers, және @langgraphjs/toolkit, барлығы 28 маусым мен 30 маусым аралығында расталды. The @szc-ft/mcp-szcd-client пакет (0.38.0 және 0.39.0 нұсқалары, 2 шілдеде расталды) біз бақылап отырған жаңа үлгіні енгізді SkillLeak: орнату ілмегінің орнына MCP дағдысының ішінде жасырылған тіркелгі деректерінің дешифраторы, postinstall-да тоқтайтын сканерлерге көрінбейді. Біз жарияладық SkillLeak толық талдауы осында.
Бұл апталық қысқаша шолу біздің үздіксіз жұмысымыздың бір бөлігі Зиянды код дайджесті, мұнда біз жаңа қауіптерді тексереміз және DevSecOps командаларына оларды қорғауға көмектесу үшін іс жүзінде қолданылатын ақпарат береміз pipelineзақымдану орын алғанға дейін. Осы аптада не тапқанымызды және оның неліктен маңызды екенін талдап көрейік.
90+ пакет. Бір апта. The Pipeline Мақсат.
Осы аптадағы дайджест шабуылдаушының назарының тек көлемде ғана емес, сонымен қатар шабуылға дейінгі өзгерістерін көрсетеді.cision. Тұрақты нұсқалардың толып кетуі, жасанды интеллект құралдар кластерлері, MCP қабатындағы тіркелгі деректерін ұрлау және ішкі монорепо атау кеңістіктеріне тәуелділіктің шатасу шабуылдары. Науқандар автоматтандырылған және үздіксіз. Апта сайынғы сканерлеу қорғаныс емес.
Xygeni зиянды бағдарламасының ерте ескертуі npm, PyPI және басқа тізілімдерді нақты уақыт режимінде бақылайды, қауіптерді жариялау сәтінде, олар құрастыруға жеткенге дейін, жасанды интеллект агенті оларды дербес орнатқанға дейін және SkillLeak стиліндегі пайдалы жүктеме орындалғанға дейін белгілейді. anthropic-toolkit бір күнде 20 нұсқасын шығарады немесе cursed-modules екі күн ішінде npm нұсқасын 999.x нұсқасымен толтырады, фактіден кейін іске қосылатын анықтау тым кеш болады.
Xygeni's Open Source Security платформа DevSecOps командаларына үйлестірілген жеткізу тізбегіндегі қысымнан озып кету үшін қажетті нақты уақыт режимінде анықтау және басымдық беру мүмкіндігін береді, сондықтан сіздің pipelineКомандаларыңыздың жылдамдығын төмендетпей, таза болыңыз.




