Збірник шкідливого коду 77

Дайджест шкідливого коду Xygeni 77

Кожного тижня, наші системи виявлення шкідливого програмного забезпечення сканують тисячі нових та оновлених пакетів у публічних реєстрах, таких як npm та PyPI. Цей тиждень не став винятком.

Ми підтвердили понад 90 шкідливих пакетів між 26 червня та 3 липня 2026 року в npm та PyPI, причому кілька кампаній продовжилися з попередніх тижнів, а також з'явилися нові.

Команда nolimit-agent Кампанія продовжила публікацію нових версій (1.0.306, 1.0.315, 1.0.316), розширюючи систему фішингу кодів пристроїв Microsoft 365, яку ми детально задокументували в нашому Звіт DeviceDoor, anthropic-toolkit Кластер був домінуючою новою кампанією, лише 30 червня було підтверджено 20 версій, безпосередньо спрямованих на пакети, пов'язані з інструментами розробника Anthropic. cursed-modules родина опублікувала понад 15 версій між 1 та 2 липня в обох standard та завищені номери версій (999.x), згідно з інструкцією щодо плутанини із залежностями. date-fns-lite кластер (5 версій, 2 липня) продовжив тенденцію видавати себе за легітимні, широко використовувані утилітні пакети.

Схема таргетування інструментів штучного інтелекту, встановлена ​​минулого тижня за допомогою ollama-helpers та openai-agents-helpers продовжено на цей період з ai-explain, ai-sdk-helpers та @langgraphjs/toolkit, усі підтверджені між 28 та 30 червня. @szc-ft/mcp-szcd-client Пакет (версії 0.38.0 та 0.39.0, підтверджені 2 липня) представив новий шаблон, який ми відстежуємо як SkillLeak: дешифратор облікових даних, прихований всередині навички MCP, а не перехоплювача встановлення, невидимий для сканерів, які зупиняються на етапі після встановлення. Ми опублікували повний аналіз SkillLeak тут.

Цей щотижневий огляд є частиною нашої постійної Дайджест шкідливого коду, де ми перевіряємо нові загрози та надаємо практичну інформацію, щоб допомогти командам DevSecOps захистити свої pipelineдо того, як виникне пошкодження. Давайте розглянемо, що ми виявили цього тижня, і чому це важливо.

Екосистема пакет Підтверджено
нмм@miraiva_test/експорт-замовлення-навичок:0.3.0Червень 26, 2026
нммinnxt-mini-app-sdk:1.0.0Червень 26, 2026
нммsysverify:1.0.9Червень 27, 2026
нмм@k18n/creatormarketplace-admin-language:99.0.0Червень 28, 2026
нммантропні-внутрішні-інструменти:1.0.0Червень 28, 2026
нммантропні-внутрішні-інструменти:1.0.1Червень 28, 2026
нммopenai-agents-helpers:1.3.2Червень 28, 2026
нмм@langgraphjs/інструментарій:1.2.12Червень 28, 2026
нммai-sdk-helpers:1.4.4Червень 28, 2026
нммollama-помічники:1.2.2Червень 28, 2026
нммAI-пояснення:0.3.3Червень 28, 2026
нммAI-пояснення:0.3.4Червень 28, 2026
пайпіtdata-grabber:1.0.0Червень 28, 2026
нмм@vpms/система проектування:1.1.2Червень 29, 2026
нмм@vpms/система проектування:1.0.1Червень 29, 2026
нмм@vpms/система проектування:0.1.3Червень 29, 2026
нммнебезпечний-шкідливий-пакет:1.0.0Червень 29, 2026
нммнебезпечний-шкідливий-пакет:1.0.2Червень 29, 2026
нммнебезпечний-шкідливий-пакет:1.0.4Червень 29, 2026
нммнебезпечний-шкідливий-пакет:1.0.6Червень 29, 2026
нммнебезпечний-шкідливий-пакет:1.0.8Червень 29, 2026
нммнебезпечний-шкідливий-пакет:1.0.9Червень 29, 2026
нммнебезпечний-шкідливий-пакет:2.0.0Червень 29, 2026
нммнебезпечний-шкідливий-пакет:2.0.1Червень 29, 2026
нмм@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.5-pentestЧервень 29, 2026
нмм@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.9-pentestЧервень 29, 2026
нмм@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.7-pentestЧервень 29, 2026
нмм@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11-pentestЧервень 29, 2026
нмм@epsteinlovekids483/crossmint-wallets-sdk-pentest:1.0.11Червень 29, 2026
нммts-einkle:1.1.3Червень 29, 2026
нммvkzmn:1.0.6Червень 29, 2026
нммlivekit-агенти:0.3.4Червень 30, 2026
нммnolimit-agent:1.0.306Червень 30, 2026
нммантропний інструментарій:0.3.0Червень 30, 2026
нммантропний інструментарій:0.4.0Червень 30, 2026
нммантропний інструментарій:0.3.1Червень 30, 2026
нммантропний інструментарій:1.0.0Червень 30, 2026
нммантропний інструментарій:1.1.1Червень 30, 2026
нммантропний інструментарій:1.2.1Червень 30, 2026
нммантропний інструментарій:0.9.0Червень 30, 2026
нммантропний інструментарій:0.5.0Червень 30, 2026
нммантропний інструментарій:1.1.0Червень 30, 2026
нммантропний інструментарій:0.7.0Червень 30, 2026
нммантропний інструментарій:0.5.1Червень 30, 2026
нммантропний інструментарій:1.2.0Червень 30, 2026
нммантропний інструментарій:0.8.0Червень 30, 2026
нммантропний інструментарій:1.0.1Червень 30, 2026
нммантропний інструментарій:1.3.0Червень 30, 2026
нммантропний інструментарій:0.6.0Червень 30, 2026
нммантропний інструментарій:0.2.0Червень 30, 2026
нммантропний інструментарій:0.1.1Червень 30, 2026
нммантропний інструментарій:0.2.1Червень 30, 2026
нммантропний інструментарій:0.4.1Червень 30, 2026
нммантропний інструментарій:0.1.0Червень 30, 2026
нммріпшакті:80.0.0Червень 30, 2026
нмм@sudoughnym/enviro-demo:0.3.3Липень 1, 2026
нмм@sudoughnym/enviro-demo:99.99.99Липень 1, 2026
нммріпшакті1:81.0.0Липень 1, 2026
нммvue-demi-fix:10.0.4Липень 1, 2026
нммeslint-angular-react:110.0.1Липень 1, 2026
нммvue-demi-fix:10.0.5Липень 1, 2026
нммecto-corsair-flag-7kq3mz:1.0.2Липень 1, 2026
нммсузір'я:0.5.1Липень 1, 2026
нммсузір'я:0.5.0Липень 1, 2026
нммсузір'я:0.4.0Липень 1, 2026
нммсузір'я:0.3.12Липень 1, 2026
нммпрокляті модулі:2.0.0Липень 1, 2026
нммпрокляті модулі:999.0.0Липень 1, 2026
нммкеш-індексу-модуля:1.0.2Липень 1, 2026
нммпрокляті модулі:999.0.1Липень 1, 2026
нммпрокляті модулі:999.0.2Липень 1, 2026
нммпрокляті модулі:999.0.3Липень 1, 2026
нммпрокляті модулі:999.0.4Липень 1, 2026
нммпрокляті модулі:999.0.5Липень 1, 2026
нммпрокляті модулі:999.0.6Липень 1, 2026
нммпрокляті модулі:999.0.7Липень 1, 2026
нммпрокляті модулі:999.0.8Липень 1, 2026
нммпрокляті модулі:999.0.9Липень 1, 2026
нммпрокляті модулі:999.1.0Липень 1, 2026
нммпрокляті модулі:999.1.1Липень 1, 2026
нммпрокляті модулі:999.1.2Липень 1, 2026
нммпрокляті модулі:1.0.1Липень 1, 2026
нммпрокляті модулі:1.0.4Липень 1, 2026
нммпрокляті модулі:1.0.5Липень 1, 2026
нммпрокляті модулі:1.0.6Липень 1, 2026
нммпрокляті модулі:1.0.7Липень 1, 2026
нммпрокляті модулі:1.0.8Липень 1, 2026
нммpp-react-v5:30.0.1Липень 1, 2026
нммpp-react-v5:30.0.2Липень 1, 2026
нмм@blue-repository/types:1.2.4-rc.0Липень 2, 2026
нмм@leju-gym/gym-cli:1.0.7Липень 2, 2026
нммспоживчий веб:2200.4.2Липень 2, 2026
нмм@szc-ft/mcp-szcd-клієнт:0.38.0Липень 2, 2026
нммlogger-daemon-regex:1.0.124Липень 2, 2026
нмм@easypayment/medusa-paypal:0.7.6Липень 2, 2026
нммdl-pp-latm:80.4.2Липень 2, 2026
нмм@szc-ft/mcp-szcd-клієнт:0.39.0Липень 2, 2026
нммdate-fns-lite:1.0.3Липень 2, 2026
нммdate-fns-lite:1.0.4Липень 2, 2026
нммdate-fns-lite:1.0.5Липень 2, 2026
нммdate-fns-lite:1.0.6Липень 2, 2026
нммdate-fns-lite:1.0.9Липень 2, 2026
нммnolimit-agent:1.0.315Липень 2, 2026
нммnolimit-agent:1.0.316Липень 2, 2026
нммпроклятий-екто-d3ab00:1.0.0Липень 3, 2026
нмм@checkrhq/adjudication-api-client:0.0.2Липень 3, 2026

90+ пакетів. Один тиждень. Pipeline Є цільовою.

Огляд цього тижня відображає зміну фокусу нападників, не лише на кількості, але й на попередніхcisіон. Постійне переповнення версіями, кластери інструментів штучного інтелекту, крадіжка облікових даних на рівні MCP та атаки плутанини залежностей проти внутрішніх просторів імен монорепозиторіїв. Кампанії автоматизовані та безперервні. Щотижневе сканування не є захистом.

Раннє попередження про шкідливе програмне забезпечення Xygeni моніторить npm, PyPI та інші реєстри в режимі реального часу, позначаючи загрози в момент публікації, до того, як вони потраплять до збірки, до того, як агент штучного інтелекту встановить їх автономно, і до того, як корисне навантаження в стилі SkillLeak матиме шанс виконатися. Коли anthropic-toolkit публікує 20 версій протягом одного дня або cursed-modules завантажує npm версією 999.x протягом двох днів, виявлення, яке запускається після факту, вже занадто пізнє.

Ксігені Open Source Security Платформа надає командам DevSecOps виявлення та визначення пріоритетів у режимі реального часу, необхідні для того, щоб випереджати тиск скоординованого ланцюга поставок, тому ваші pipelineзалишайтеся чистими, не уповільнюючи роботу ваших команд.

інструменти-для-аналізу-складу-програмного-засобу-sca
Визначте пріоритети, усуньте та захистіть ризики, пов'язані з програмним забезпеченням
Отримайте свій безкоштовний обліковий запис.
Не потрібна кредитна картка.

Забезпечте розробку та доставку програмного забезпечення

з пакетом продуктів Xygeni