Çdo javë, sistemet tona të zbulimit të programeve keqdashëse skanojnë mijëra paketa të reja dhe të përditësuara në regjistrat publikë si npm dhe PyPI. Kjo javë nuk bëri përjashtim.
Ne konfirmuam mbi 90 paketa dashakeqe midis 26 qershorit dhe 3 korrikut 2026, në të gjithë npm dhe PyPI, me disa fushata që vazhdojnë nga javët e kaluara dhe të reja që shfaqen.
La nolimit-agent Fushata vazhdoi të publikonte versione të reja (1.0.306, 1.0.315, 1.0.316), duke zgjeruar kuadrin e phishing-ut të kodit të pajisjes të Microsoft 365 që e dokumentuam në detaje në Raporti i DeviceDoor. anthropic-toolkit grumbulli ishte fushata e re dominuese, me 20 versione të konfirmuara vetëm më 30 qershor — duke synuar drejtpërdrejt paketa të lidhura me mjetet e zhvilluesve të Anthropic. cursed-modules familja publikoi mbi 15 versione midis 1 korrikut dhe 2 korrikut në të dy standard dhe numra të fryrë të versioneve (999.x), duke ndjekur udhëzuesin e ngatërresës së varësisë. date-fns-lite cluster (5 versione, 2 korrik) vazhdoi modelin e imitimit të paketave të shërbimeve legjitime dhe të përdorura gjerësisht.
Modeli i synimit të mjeteve të inteligjencës artificiale u krijua javën e kaluar me ollama-helpers openai-agents-helpers zgjatur në këtë periudhë me ai-explain, ai-sdk-helpersdhe @langgraphjs/toolkit, të gjitha të konfirmuara midis 28 qershorit dhe 30 qershorit. @szc-ft/mcp-szcd-client paketa (versionet 0.38.0 dhe 0.39.0, të konfirmuara më 2 korrik) prezantoi një model të ri që po e ndjekim si SkillLeak: një dekriptues kredencialesh i fshehur brenda një aftësie MCP në vend të një grepi instalimi, i padukshëm për skanerët që ndalen në postinstalim. Ne publikuam një Analiza e plotë e SkillLeak këtu.
Kjo pamje e shkurtër javore është pjesë e aktivitetit tonë të vazhdueshëm Përmbledhje e Kodit të Dëmshëm, ku ne vërtetojmë kërcënimet e reja dhe ofrojmë inteligjencë të zbatueshme për të ndihmuar ekipet DevSecOps të mbrojnë të tyret pipelinepara se të ndodhë dëmtimi. Le të analizojmë atë që zbuluam këtë javë dhe pse ka rëndësi.
Mbi 90 Paketa. Një Javë. Pipeline Është Objektivi.
Përmbledhja e kësaj jave pasqyron një ndryshim në fokusin e sulmuesit, jo vetëm në vëllim, por edhe në përgatitje.cision. Përmbytje e vazhdueshme e versioneve, grumbuj mjetesh të IA-së, vjedhje kredencialesh të shtresës MCP dhe sulme konfuzioni varësie kundër hapësirave të emrave të monorepove të brendshme. Fushatat janë të automatizuara dhe të vazhdueshme. Një skanim javor nuk është mbrojtje.
Paralajmërim i hershëm për programe keqdashëse Xygeni monitoron npm, PyPI dhe regjistra të tjerë në kohë reale, duke sinjalizuar kërcënimet në momentin e publikimit, përpara se ato të arrijnë në një ndërtim, përpara se një agjent i IA-së t'i instalojë ato në mënyrë autonome dhe përpara se një ngarkesë e tipit SkillLeak të ketë një shans për t'u ekzekutuar. Kur anthropic-toolkit publikon 20 versione në një ditë të vetme ose cursed-modules përmbyt npm me versionin 999.x gjatë dy ditëve, zbulimi që ekzekutohet pas faktit është tashmë tepër vonë.
Xygeni's Open Source Security platforma u jep ekipeve DevSecOps zbulimin dhe përparësitë në kohë reale të nevojshme për të qëndruar përpara presionit të koordinuar të zinxhirit të furnizimit, kështu që pipelineQëndroni të pastër pa i ngadalësuar ekipet tuaja.




