दुर्भावनापूर्ण कोड डाइजेस्ट ७१

जाइगेनी मालिसियस कोड डाइजेस्ट ६२

हरेक हप्ता, हाम्रो मालवेयर पत्ता लगाउने प्रणालीहरूले npm र PyPI जस्ता सार्वजनिक रजिस्ट्रीहरूमा हजारौं नयाँ र अद्यावधिक गरिएका प्याकेजहरू स्क्यान गर्छन्। यो हप्ता पनि यसको अपवाद थिएन।

हामीले जुन २६ देखि जुलाई ३, २०२६ सम्म npm र PyPI भरि ९० भन्दा बढी मालिसियस प्याकेजहरू पुष्टि गर्यौं, जसमा अघिल्ला हप्ताहरूबाट धेरै अभियानहरू जारी रहे र नयाँहरू देखा परे।

यो nolimit-agent अभियानले नयाँ संस्करणहरू (१.०.३०६, १.०.३१५, १.०.३१६) प्रकाशित गर्न जारी राख्यो, जसले हाम्रो मा विस्तृत रूपमा दस्तावेजीकरण गरिएको माइक्रोसफ्ट ३६५ उपकरण-कोड फिसिङ फ्रेमवर्कलाई विस्तार गर्‍यो। उपकरणको ढोका रिपोर्ट। यो anthropic-toolkit क्लस्टर प्रमुख नयाँ अभियान थियो, जुन ३० मा मात्र २० संस्करणहरू पुष्टि भएका थिए - एन्थ्रोपिकको विकासकर्ता उपकरणसँग सम्बन्धित प्याकेजहरूलाई प्रत्यक्ष रूपमा लक्षित गर्दै। cursed-modules परिवारले जुलाई १ र जुलाई २ बीच दुवैमा १५ भन्दा बढी संस्करणहरू प्रकाशित गर्‍यो standard र बढाइएको संस्करण संख्याहरू (999.x), निर्भरता भ्रम प्लेबुक पछ्याउँदै। date-fns-lite क्लस्टर (५ संस्करण, जुलाई २) ले वैध, व्यापक रूपमा प्रयोग हुने उपयोगिता प्याकेजहरूको नक्कल गर्ने ढाँचालाई निरन्तरता दियो।

गत हप्ता स्थापित एआई टूलिङ लक्ष्यीकरण ढाँचा ollama-helpersopenai-agents-helpers यस अवधिमा विस्तार गरिएको ai-explain, ai-sdk-helpers, र @langgraphjs/toolkit, जुन २८ र जुन ३० बीचमा सबै पुष्टि भयो। @szc-ft/mcp-szcd-client प्याकेज (संस्करण ०.३८.० र ०.३९.०, जुलाई २ मा पुष्टि गरिएको) ले हामीले ट्र्याक गरिरहेको नयाँ ढाँचा प्रस्तुत गर्‍यो स्किललिक: स्थापना हुकको सट्टा MCP सीप भित्र लुकेको क्रेडेन्सियल डिक्रिप्टर, पोस्टइन्स्टलमा रोकिने स्क्यानरहरूमा अदृश्य। हामीले एउटा प्रकाशित गर्यौं स्किललिकको पूर्ण विश्लेषण यहाँ छ.

यो साप्ताहिक स्न्यापसट हाम्रो निरन्तरको अंश हो दुर्भावनापूर्ण कोड डाइजेस्ट, जहाँ हामी नयाँ खतराहरूलाई प्रमाणित गर्छौं र DevSecOps टोलीहरूलाई उनीहरूको सुरक्षा गर्न मद्दत गर्न कारबाहीयोग्य गुप्तचर प्रदान गर्छौं pipelineक्षति हुनुभन्दा पहिले। यस हप्ता हामीले के पायौं र यो किन महत्त्वपूर्ण छ भनेर छलफल गरौं।

पारिस्थितिकी तंत्र प्याकेज पुष्टि भयो
npm@मिराइभा_परीक्षण/सीप-अर्डर-निर्यात: ०.३.०जुन 26, 2026
npminnxt-mini-app-sdk:१.०.०जुन 26, 2026
npmप्रणाली प्रमाणित: १.०.९जुन 27, 2026
npm@k18n/क्रिएटरमार्केटप्लेस-एडमिन-भाषा:99.0.0जुन 28, 2026
npmमानव-आन्तरिक-उपकरणहरू:१.०.१जुन 28, 2026
npmमानव-आन्तरिक-उपकरणहरू:१.०.१जुन 28, 2026
npmओपनई-एजेन्ट-सहायकहरू: १.३.१जुन 28, 2026
npm@langgraphjs/टूलकिट:१.२.१०जुन 28, 2026
npmएआई-एसडीके-सहायकहरू: १.४.२जुन 28, 2026
npmओलामा-सहायकहरू:१.२.१जुन 28, 2026
npmएआई-व्याख्या: ०.३.४जुन 28, 2026
npmएआई-व्याख्या: ०.३.४जुन 28, 2026
pypitdata-grabber:१.०.०जुन 28, 2026
npm@vpms/डिजाइन-प्रणाली: ०.१.३जुन 29, 2026
npm@vpms/डिजाइन-प्रणाली: ०.१.३जुन 29, 2026
npm@vpms/डिजाइन-प्रणाली: ०.१.३जुन 29, 2026
npmअसुरक्षित-दुर्भावनापूर्ण-प्याकेज:१.०.९जुन 29, 2026
npmअसुरक्षित-दुर्भावनापूर्ण-प्याकेज:१.०.९जुन 29, 2026
npmअसुरक्षित-दुर्भावनापूर्ण-प्याकेज:१.०.९जुन 29, 2026
npmअसुरक्षित-दुर्भावनापूर्ण-प्याकेज:१.०.९जुन 29, 2026
npmअसुरक्षित-दुर्भावनापूर्ण-प्याकेज:१.०.९जुन 29, 2026
npmअसुरक्षित-दुर्भावनापूर्ण-प्याकेज:१.०.९जुन 29, 2026
npmअसुरक्षित-दुर्भावनापूर्ण-प्याकेज:१.०.९जुन 29, 2026
npmअसुरक्षित-दुर्भावनापूर्ण-प्याकेज:१.०.९जुन 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-पेन्टेस्ट:१.०.११-पेन्टेस्टजुन 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-पेन्टेस्ट:१.०.११-पेन्टेस्टजुन 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-पेन्टेस्ट:१.०.११-पेन्टेस्टजुन 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-पेन्टेस्ट:१.०.११-पेन्टेस्टजुन 29, 2026
npm@epsteinlovekids483/crossmint-wallets-sdk-pentest:१.०.११जुन 29, 2026
npmts-einkle:१.१.३जुन 29, 2026
npmvkzmn:१.०.६जुन 29, 2026
npmलाइभकिट-एजेन्टहरू: ०.३.४जुन 30, 2026
npmनोलिमिट-एजेन्ट:१.०.३१६जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmएन्थ्रोपिक-टूलकिट: ०.१.०जुन 30, 2026
npmरिपशक्ति:८०.०.०जुन 30, 2026
npm@sudoughnym/वातावरण-डेमो:९९.९९.९९जुलाई 1, 2026
npm@sudoughnym/वातावरण-डेमो:९९.९९.९९जुलाई 1, 2026
npmरिपशक्ति१:८१.०.०जुलाई 1, 2026
npmभ्यू-डेमी-फिक्स:१०.०.५जुलाई 1, 2026
npmएस्लिन्ट-एङ्गुलर-प्रतिक्रिया: ११०.०.१जुलाई 1, 2026
npmभ्यू-डेमी-फिक्स:१०.०.५जुलाई 1, 2026
npmएक्टो-कोर्सेयर-फ्ल्याग-७ किलोक्यु३ एमजेड:१.०.२जुलाई 1, 2026
npmनक्षत्र: ०.३.१२जुलाई 1, 2026
npmनक्षत्र: ०.३.१२जुलाई 1, 2026
npmनक्षत्र: ०.३.१२जुलाई 1, 2026
npmनक्षत्र: ०.३.१२जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmमोड्युल-सूचकांक-क्यास: १.०.२जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmcursed-modules:१.०.८जुलाई 1, 2026
npmpp-react-v5:30.0.1जुलाई 1, 2026
npmpp-react-v5:30.0.2जुलाई 1, 2026
npm@ब्लु-रिपोजिटरी/प्रकारहरू:१.२.४-rc.0जुलाई 2, 2026
npm@लेजु-जिम/जिम-क्लाइन्ट: १.०.७जुलाई 2, 2026
npmउपभोक्ता वेब:२२००.४.२जुलाई 2, 2026
npm@szc-ft/mcp-szcd-client: ०.३९.०जुलाई 2, 2026
npmलगर-डेमन-रेजेक्स:१.०.१२४जुलाई 2, 2026
npm@easypayment/medusa-paypal: ०.७.६जुलाई 2, 2026
npmdl-pp-latm:८०.४.२जुलाई 2, 2026
npm@szc-ft/mcp-szcd-client: ०.३९.०जुलाई 2, 2026
npmमिति-एफएनएस-लाइट: १.०.९जुलाई 2, 2026
npmमिति-एफएनएस-लाइट: १.०.९जुलाई 2, 2026
npmमिति-एफएनएस-लाइट: १.०.९जुलाई 2, 2026
npmमिति-एफएनएस-लाइट: १.०.९जुलाई 2, 2026
npmमिति-एफएनएस-लाइट: १.०.९जुलाई 2, 2026
npmनोलिमिट-एजेन्ट:१.०.३१६जुलाई 2, 2026
npmनोलिमिट-एजेन्ट:१.०.३१६जुलाई 2, 2026
npmcursed-ecto-d3ab00:1.0.0जुलाई 3, 2026
npm@checkrhq/अडजुडिकेशन-एपीआई-क्लाइन्ट:०.०.२जुलाई 3, 2026

९०+ प्याकेजहरू। एक हप्ता। द Pipeline लक्ष्य हो।

यस हप्ताको डाइजेस्टले आक्रमणकारीको ध्यानमा आएको परिवर्तनलाई प्रतिबिम्बित गर्दछ, केवल मात्रामा मात्र होइन, तर पूर्वcisआयन। निरन्तर संस्करण बाढी, एआई टूलिङ क्लस्टरहरू, MCP-तह प्रमाणपत्र चोरी, र आन्तरिक मोनोरेपो नेमस्पेसहरू विरुद्ध निर्भरता भ्रम आक्रमणहरू। अभियानहरू स्वचालित र निरन्तर छन्। साप्ताहिक स्क्यान बचाउ होइन।

Xygeni प्रारम्भिक मालवेयर चेतावनी npm, PyPI, र अन्य रजिस्ट्रीहरूलाई वास्तविक समयमा निगरानी गर्दछ, प्रकाशनको क्षणमा खतराहरू फ्ल्याग गर्दछ, तिनीहरू निर्माणमा पुग्नु अघि, AI एजेन्टले तिनीहरूलाई स्वायत्त रूपमा स्थापना गर्नु अघि, र SkillLeak-शैलीको पेलोडले कार्यान्वयन गर्ने मौका पाउनु अघि। जब anthropic-toolkit एकै दिनमा २० संस्करणहरू प्रकाशित गर्दछ वा cursed-modules दुई दिनसम्म npm मा संस्करण ९९९.x भरियो, तथ्य पछि पत्ता लगाउने काम पहिले नै धेरै ढिलो भइसकेको छ।

जाइगेनीको Open Source Security प्लेटफर्मले DevSecOps टोलीहरूलाई समन्वित आपूर्ति श्रृंखला दबाबभन्दा अगाडि रहन आवश्यक वास्तविक-समय पत्ता लगाउने र प्राथमिकीकरण प्रदान गर्दछ, त्यसैले तपाईंको pipelineआफ्नो टोलीलाई ढिलो नगरी सफा रहनुहोस्।

sca-उपकरण-सफ्टवेयर-रचना-विश्लेषण-उपकरणहरू
आफ्नो सफ्टवेयर जोखिमहरूलाई प्राथमिकता दिनुहोस्, सुधार गर्नुहोस् र सुरक्षित गर्नुहोस्
आफ्नो नि:शुल्क खाता पाउनुहोस्।
कुनै क्रेडिट कार्ड आवश्यक छैन।

आफ्नो सफ्टवेयर विकास र डेलिभरी सुरक्षित गर्नुहोस्

Xygeni उत्पादन सुइटको साथ