Béiswëlleg Code Digest 77

Xygeni Malicious Code Digest 77

All Woch, eis Malware-Detektiounssystemer scannen Dausende vun neien an aktualiséierte Paketen iwwer ëffentlech Registere wéi npm a PyPI. Dës Woch war keng Ausnam.

Mir hunn tëscht dem 26. Juni an dem 3. Juli 2026 iwwer 90 béiswëlleg Pakete bei npm a PyPI confirméiert, mat verschiddene Kampagnen, déi aus de leschte Woche weidergefouert goufen, an neien, déi entstane sinn.

d' nolimit-agent D'Campagne huet weider nei Versiounen publizéiert (1.0.306, 1.0.315, 1.0.316), wouduerch de Microsoft 365 Device-Code Phishing Framework erweidert gouf, deen mir am Detail an eisem dokumentéiert hunn. DeviceDoor Rapport. d' anthropic-toolkit Cluster war déi dominant nei Kampagne, mat 20 Versiounen, déi eleng den 30. Juni bestätegt goufen - direkt gezielt op Paketen, déi mat den Entwéckler-Tools vun Anthropic verbonne waren. cursed-modules Famill huet tëscht dem 1. an dem 2. Juli iwwer 15 Versiounen op béide Säiten publizéiert standard an opgeblosen Versiounsnummeren (999.x), no dem Spillbuch vun der Ofhängegkeetsduercherneen. date-fns-lite Cluster (5 Versiounen, 2. Juli) huet de Muster vun der Imitatioun vu legitimen, wäit verbreeten Utility-Paketen weidergefouert.

Den Zilmuster fir AI-Tooling, deen d'lescht Woch etabléiert gouf, mat ollama-helpers an openai-agents-helpers an dës Period verlängert mat ai-explain, ai-sdk-helpers, an @langgraphjs/toolkit, all tëscht dem 28. an dem 30. Juni bestätegt. Den @szc-ft/mcp-szcd-client De Pak (Versiounen 0.38.0 an 0.39.0, confirméiert den 2. Juli) huet en neit Muster agefouert, dat mir verfollegen als SkillLeak: en Umeldungsinformatiounsentschlësseler, deen an enger MCP-Fäegkeet verstoppt ass anstatt an engem Installatiounshook, onsichtbar fir Scanner, déi no der Installatioun ophalen. Mir hunn e publizéiert Déi komplett SkillLeak Analyse hei.

Dës wöchentlech Iwwersiicht ass Deel vun eisem lafende Béiswëlleg Code Digest, wou mir nei Bedrohungen validéieren an ëmsetzbar Informatiounen ubidden, fir DevSecOps-Teams ze hëllefen, hir ... ze schützen pipelines ier Schued entsteet. Loosst eis opbriechen, wat mir dës Woch fonnt hunn a firwat et wichteg ass.

Ecosystem Pak confirméiert
npm@miraiva_test/Fäegkeet-Bestellung-Export:0.3.0Jun 26, 2026
npminnxt-mini-app-sdk:1.0.0Jun 26, 2026
npmsysverify:1.0.9Jun 27, 2026
npm@k18n/creatormarketplace-admin-Sprooch:99.0.0Jun 28, 2026
npmanthropesch-intern-Tools: 1.0.0Jun 28, 2026
npmanthropesch-intern-Tools: 1.0.1Jun 28, 2026
npmopenai-agents-helpers:1.3.2Jun 28, 2026
npm@langgraphjs/toolkit:1.2.12Jun 28, 2026
npmai-sdk-Hëllefer: 1.4.4Jun 28, 2026
npmollama-Hëllefer: 1.2.2Jun 28, 2026
npmai-explain:0.3.3Jun 28, 2026
npmai-explain:0.3.4Jun 28, 2026
pypitdata-grabber:1.0.0Jun 28, 2026
npm@vpms/Design-System:1.1.2Jun 29, 2026
npm@vpms/Design-System:1.0.1Jun 29, 2026
npm@vpms/Design-System:0.1.3Jun 29, 2026
npmonsécher-béiswëlleg-Package: 1.0.0Jun 29, 2026
npmonsécher-béiswëlleg-Package: 1.0.2Jun 29, 2026
npmonsécher-béiswëlleg-Package: 1.0.4Jun 29, 2026
npmonsécher-béiswëlleg-Package: 1.0.6Jun 29, 2026
npmonsécher-béiswëlleg-Package: 1.0.8Jun 29, 2026
npmonsécher-béiswëlleg-Package: 1.0.9Jun 29, 2026
npmonsécher-béiswëlleg-Package: 2.0.0Jun 29, 2026
npmonsécher-béiswëlleg-Package: 2.0.1Jun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.5-pentestJun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.9-pentestJun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.7-pentestJun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11-pentestJun 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11Jun 29, 2026
npmts-einkle:1.1.3Jun 29, 2026
npmvkzmn:1.0.6Jun 29, 2026
npmlivekit-Agenten: 0.3.4Jun 30, 2026
npmnolimit-agent: 1.0.306Jun 30, 2026
npmanthropesch-Toolkit: 0.3.0Jun 30, 2026
npmanthropesch-Toolkit: 0.4.0Jun 30, 2026
npmanthropesch-Toolkit: 0.3.1Jun 30, 2026
npmanthropesch-Toolkit: 1.0.0Jun 30, 2026
npmanthropesch-Toolkit: 1.1.1Jun 30, 2026
npmanthropesch-Toolkit: 1.2.1Jun 30, 2026
npmanthropesch-Toolkit: 0.9.0Jun 30, 2026
npmanthropesch-Toolkit: 0.5.0Jun 30, 2026
npmanthropesch-Toolkit: 1.1.0Jun 30, 2026
npmanthropesch-Toolkit: 0.7.0Jun 30, 2026
npmanthropesch-Toolkit: 0.5.1Jun 30, 2026
npmanthropesch-Toolkit: 1.2.0Jun 30, 2026
npmanthropesch-Toolkit: 0.8.0Jun 30, 2026
npmanthropesch-Toolkit: 1.0.1Jun 30, 2026
npmanthropesch-Toolkit: 1.3.0Jun 30, 2026
npmanthropesch-Toolkit: 0.6.0Jun 30, 2026
npmanthropesch-Toolkit: 0.2.0Jun 30, 2026
npmanthropesch-Toolkit: 0.1.1Jun 30, 2026
npmanthropesch-Toolkit: 0.2.1Jun 30, 2026
npmanthropesch-Toolkit: 0.4.1Jun 30, 2026
npmanthropesch-Toolkit: 0.1.0Jun 30, 2026
npmripshakti:80.0.0Jun 30, 2026
npm@sudoughnym/enviro-demo:0.3.3Juli 1, 2026
npm@sudoughnym/enviro-demo:99.99.99Juli 1, 2026
npmripshakti1:81.0.0Juli 1, 2026
npmvue-demi-fix:10.0.4Juli 1, 2026
npmeslint-angular-react:110.0.1Juli 1, 2026
npmvue-demi-fix:10.0.5Juli 1, 2026
npmecto-corsair-flag-7kq3mz:1.0.2Juli 1, 2026
npmKonstellatioun: 0.5.1Juli 1, 2026
npmKonstellatioun: 0.5.0Juli 1, 2026
npmKonstellatioun: 0.4.0Juli 1, 2026
npmKonstellatioun: 0.3.12Juli 1, 2026
npmverfluchte Moduler: 2.0.0Juli 1, 2026
npmverfluchte Moduler: 999.0.0Juli 1, 2026
npmModul-Index-Cache:1.0.2Juli 1, 2026
npmverfluchte Moduler: 999.0.1Juli 1, 2026
npmverfluchte Moduler: 999.0.2Juli 1, 2026
npmverfluchte Moduler: 999.0.3Juli 1, 2026
npmverfluchte Moduler: 999.0.4Juli 1, 2026
npmverfluchte Moduler: 999.0.5Juli 1, 2026
npmverfluchte Moduler: 999.0.6Juli 1, 2026
npmverfluchte Moduler: 999.0.7Juli 1, 2026
npmverfluchte Moduler: 999.0.8Juli 1, 2026
npmverfluchte Moduler: 999.0.9Juli 1, 2026
npmverfluchte Moduler: 999.1.0Juli 1, 2026
npmverfluchte Moduler: 999.1.1Juli 1, 2026
npmverfluchte Moduler: 999.1.2Juli 1, 2026
npmverfluchte Moduler: 1.0.1Juli 1, 2026
npmverfluchte Moduler: 1.0.4Juli 1, 2026
npmverfluchte Moduler: 1.0.5Juli 1, 2026
npmverfluchte Moduler: 1.0.6Juli 1, 2026
npmverfluchte Moduler: 1.0.7Juli 1, 2026
npmverfluchte Moduler: 1.0.8Juli 1, 2026
npmpp-react-v5:30.0.1Juli 1, 2026
npmpp-react-v5:30.0.2Juli 1, 2026
npm@blue-repository/typen:1.2.4-rc.0Juli 2, 2026
npm@leju-gym/gym-cli:1.0.7Juli 2, 2026
npmKonsumentweb:2200.4.2Juli 2, 2026
npm@szc-ft/mcp-szcd-client:0.38.0Juli 2, 2026
npmlogger-daemon-regex:1.0.124Juli 2, 2026
npm@easypayment/medusa-paypal:0.7.6Juli 2, 2026
npmdl-pp-latm:80.4.2Juli 2, 2026
npm@szc-ft/mcp-szcd-client:0.39.0Juli 2, 2026
npmdate-fns-lite:1.0.3Juli 2, 2026
npmdate-fns-lite:1.0.4Juli 2, 2026
npmdate-fns-lite:1.0.5Juli 2, 2026
npmdate-fns-lite:1.0.6Juli 2, 2026
npmdate-fns-lite:1.0.9Juli 2, 2026
npmnolimit-agent: 1.0.315Juli 2, 2026
npmnolimit-agent: 1.0.316Juli 2, 2026
npmverflucht-ecto-d3ab00:1.0.0Juli 3, 2026
npm@checkrhq/adjudication-api-client:0.0.2Juli 3, 2026

90+ Paketen. Eng Woch. Den Pipeline Ass d'Zil.

D'Digest vun dëser Woch reflektéiert eng Verännerung vum Fokus vum Ugräifer, net nëmmen de Volume, mee och de Pre-Optrëtt.cision. Laangfristeg Versiounsiwwerflutung, KI-Tooling-Cluster, MCP-Layer-Umeldungsdatendiebstahl an Ofhängegkeetsduercherneenattacken géint intern Monorepo-Namespaces. D'Kampagnen sinn automatiséiert a kontinuéierlech. E wöchentleche Scan ass keng Verteidegung.

Xygeni Fréizäiteg Malware Warnung iwwerwaacht npm, PyPI an aner Registere a Echtzäit, andeems se Gefore beim Publikatiounszäitpunkt markéiert, ier se e Build erreechen, ier en AI-Agent se autonom installéiert a ier eng Payload am SkillLeak-Stil eng Chance huet auszeféieren. anthropic-toolkit publizéiert 20 Versiounen an engem eenzegen Dag oder cursed-modules iwwerflutt npm mat der Versioun 999.x iwwer zwee Deeg, Detektioun déi spéider leeft ass scho ze spéit.

Xygeni's Open Source Security D'Plattform gëtt DevSecOps-Teams déi Echtzäitdetektioun a Prioriséierung, déi néideg sinn, fir dem koordinéierten Drock an der Versuergungskette e Schrëtt viraus ze bleiwen, sou datt Är pipelines bleift propper ouni Är Équipen ze bremsen.

sca-tools-software-zesummesetzungsanalyse-tools
Prioritäriséiert, behënnert a séchert Är Softwarerisiken
Kritt Äre gratis Kont.
Kee Kreditkaart erfuerderlech.

Séchert Är Softwareentwécklung a Liwwerung

mat der Xygeni Produkt Suite