Har hafta, bizning zararli dasturlarni aniqlash tizimlarimiz npm va PyPI kabi ommaviy registrlarda minglab yangi va yangilangan paketlarni skanerlaydi. Bu hafta ham bundan mustasno emas edi.
Biz 2026-yil 26-iyun va 3-iyul kunlari orasida npm va PyPI orqali 90 dan ortiq zararli paketlarni tasdiqladik, oldingi haftalardan beri bir nechta kampaniyalar davom etmoqda va yangilari paydo bo'lmoqda.
The nolimit-agent kampaniya yangi versiyalarini (1.0.306, 1.0.315, 1.0.316) nashr etishda davom etdi va biz batafsil hujjatlashtirgan Microsoft 365 qurilma kodi fishing tizimini kengaytirdi. DeviceDoor hisoboti. The anthropic-toolkit klaster yangi kampaniyaning asosiy qismi bo'lib, faqat 30-iyun kuni 20 ta versiya tasdiqlandi — ular to'g'ridan-to'g'ri Anthropic ishlab chiquvchi vositalari bilan bog'liq paketlarga qaratilgan edi. cursed-modules oila 1 iyuldan 2 iyulgacha ikkala mamlakatda ham 15 dan ortiq versiyani nashr etdi standard va qaramlik chalkashligi bo'yicha qo'llanmaga amal qilib, versiya raqamlari (999.x) oshirildi. date-fns-lite klaster (5 ta versiya, 2-iyul) qonuniy, keng qo'llaniladigan kommunal paketlarni taqlid qilish naqshini davom ettirdi.
O'tgan hafta AI vositalarini nishonga olish naqshini o'rnatdi ollama-helpers va openai-agents-helpers ushbu davrga kengaytirildi ai-explain, ai-sdk-helpersva @langgraphjs/toolkit, barchasi 28-iyun va 30-iyun oralig'ida tasdiqlangan. The @szc-ft/mcp-szcd-client paket (0.38.0 va 0.39.0 versiyalari, 2-iyulda tasdiqlangan) biz kuzatib borayotgan yangi naqshni taqdim etdi SkillLeak: postinstall da to'xtaydigan skanerlar uchun ko'rinmas, o'rnatish kancasi o'rniga MCP ko'nikmasi ichida yashiringan hisob ma'lumotlarini dekodlovchi. Biz nashr qildik SkillLeakning to'liq tahlili bu yerda.
Ushbu haftalik qisqacha ma'lumot bizning davom etayotgan ishlarimizning bir qismidir Zararli kod dayjesti, bu yerda biz yangi tahdidlarni tasdiqlaymiz va DevSecOps guruhlariga ularni himoya qilishda yordam berish uchun amaliy ma'lumotlarni taqdim etamiz pipelinezarar yetmasdan oldin. Keling, bu hafta nimani topganimizni va nima uchun bu muhimligini tahlil qilaylik.
90+ paketlar. Bir hafta. The Pipeline Maqsad.
Bu haftagi dayjest hujumchilarning diqqat markazida nafaqat hajmda, balki oldindan ham o'zgarishni aks ettiradi.cision. Uzluksiz versiyalar oqimi, AI vositalari klasterlari, MCP qatlamidagi hisob ma'lumotlarini o'g'irlash va ichki monorepo nom maydonlariga qaramlik chalkashliklari hujumlari. Kampaniyalar avtomatlashtirilgan va uzluksiz. Haftalik skanerlash himoya emas.
Xygeni erta zararli dastur haqida ogohlantirish npm, PyPI va boshqa registrlarni real vaqt rejimida kuzatib boradi, tahdidlarni nashr etilgan paytda, ular tuzilishga yetib borgunga qadar, AI agenti ularni avtonom ravishda o'rnatgunga qadar va SkillLeak uslubidagi foydali yuklama ishga tushishi mumkin bo'lgunga qadar belgilaydi. Qachon anthropic-toolkit bir kunda 20 ta versiyani nashr etadi yoki cursed-modules ikki kun ichida npm ni 999.x versiyasi bilan to'ldiradi, faktdan keyin ishlaydigan aniqlash allaqachon juda kech bo'ladi.
Xygeni's Open Source Security platforma DevSecOps jamoalariga muvofiqlashtirilgan ta'minot zanjiri bosimidan oldinda bo'lish uchun zarur bo'lgan real vaqt rejimida aniqlash va ustuvorlik berish imkonini beradi, shuning uchun sizning pipelineJamoalaringizni sekinlashtirmasdan toza bo'ling.




