每周我们的恶意软件检测系统会扫描 npm 和 PyPI 等公共注册表中数千个新增和更新的软件包。本周也不例外。
2026 年 6 月 26 日至 7 月 3 日期间,我们在 npm 和 PyPI 上发现了 90 多个恶意软件包,其中一些活动是从前几周延续下来的,并且出现了新的活动。
此 nolimit-agent 该攻击活动持续发布新版本(1.0.306、1.0.315、1.0.316),扩展了我们在文档中详细记录的 Microsoft 365 设备代码网络钓鱼框架。 DeviceDoor 报告。 该 anthropic-toolkit cluster 是此次攻击活动的主要目标,仅 6 月 30 日一天就确认出现了 20 个版本——这些攻击直接针对与 Anthropic 开发者工具相关的软件包。 cursed-modules 该家族在7月1日至7月2日期间,在两个平台上发布了超过15个版本。 standard 并采用了虚高的版本号(999.x),这是典型的依赖关系混乱策略。 date-fns-lite cluster(5 个版本,7 月 2 日)延续了冒充合法、广泛使用的实用程序包的模式。
上周确定的人工智能工具瞄准模式 ollama-helpers 和 openai-agents-helpers 延续到这一时期 ai-explain, ai-sdk-helpers和 @langgraphjs/toolkit所有确诊病例均在6月28日至6月30日期间得到确认。 @szc-ft/mcp-szcd-client 软件包(版本 0.38.0 和 0.39.0,已于 7 月 2 日确认)引入了一种我们正在跟踪的新模式。 技能泄露:一个隐藏在 MCP 技能内部而非安装钩子中的凭证解密器,对在安装后阶段停止的扫描器不可见。我们发布了一个 完整的SkillLeak分析请点击此处.
每周快照是我们正在进行的 恶意代码摘要我们在此验证新威胁并提供可操作的情报,以帮助 DevSecOps 团队保护其安全。 pipeline在损失发生之前。让我们来分析一下本周的发现及其重要性。
90多个包裹。一周。 Pipeline 目标就是它。
本周的简报反映了攻击者关注点的转变,不仅体现在攻击数量上,还体现在前期准备工作上。cis持续的版本泛洪攻击、AI工具集群攻击、MCP层凭证窃取攻击以及针对内部单体仓库命名空间的依赖关系混淆攻击。这些攻击活动是自动化且持续进行的。每周一次的扫描不足以防御。
Xygeni 早期恶意软件警告 它实时监控 npm、PyPI 和其他注册表,在威胁发布之时就将其标记出来,阻止它们进入构建流程,阻止 AI 代理自主安装它们,也阻止 SkillLeak 式有效载荷有机会执行。 anthropic-toolkit 一天之内发布 20 个版本或 cursed-modules 两天内用 999.x 版本淹没 npm,事后检测为时已晚。
Xygeni 的 Open Source Security 该平台为 DevSecOps 团队提供实时检测和优先级排序功能,帮助他们应对协调供应链带来的压力,从而保障您的安全。 pipeline保持清洁,同时又不拖慢团队速度。




