Gach seachtain, déanann ár gcórais braite malware scanadh ar na mílte pacáiste nua agus nuashonraithe ar fud clárlanna poiblí ar nós npm agus PyPI. Ní raibh an tseachtain seo ina haon eisceacht.
Dheimhnigh muid breis is 90 pacáiste mailíseach idir 26 Meitheamh agus 3 Iúil, 2026, ar fud npm agus PyPI, agus roinnt feachtas ag leanúint ar aghaidh ó sheachtainí roimhe sin agus cinn nua ag teacht chun cinn.
An nolimit-agent Lean an feachtas ar aghaidh ag foilsiú leaganacha nua (1.0.306, 1.0.315, 1.0.316), ag leathnú an chreat fioscaireachta cód gléasanna Microsoft 365 a ndearnamar doiciméadú mionsonraithe air inár Tuarascáil DeviceDoor. An anthropic-toolkit Ba é an cluster an feachtas nua ba mhó a bhí ann, agus 20 leagan deimhnithe ar an 30 Meitheamh amháin — ag díriú go díreach ar phacáistí a bhaineann le huirlisí forbróra Anthropic. cursed-modules d’fhoilsigh an teaghlach breis is 15 leagan idir an 1 Iúil agus an 2 Iúil ar fud an dá cheann standard agus uimhreacha leaganacha atá ardaithe (999.x), ag leanúint an leabhair súgartha mearbhaill spleáchais. date-fns-lite Lean an braisle (5 leagan, 2 Iúil) leis an bpatrún maidir le pacáistí fóntais dlisteanacha, a úsáidtear go forleathan, a phearsantú.
An patrún spriocdhírithe uirlisí AI a bunaíodh an tseachtain seo caite le ollama-helpers agus openai-agents-helpers sínte isteach sa tréimhse seo le ai-explain, ai-sdk-helpers, agus @langgraphjs/toolkit, deimhnithe idir 28 Meitheamh agus 30 Meitheamh. An @szc-ft/mcp-szcd-client Thug an pacáiste (leaganacha 0.38.0 agus 0.39.0, deimhnithe 2 Iúil) patrún nua isteach atá á rianú againn mar ScileannaScaoileadh: díchriptitheoir dintiúir i bhfolach taobh istigh de scileanna MCP seachas crúca suiteála, dofheicthe ag scanóirí a stopann ag an am iar-shuiteála. D’fhoilsíomar anailís iomlán SkillLeak anseo.
Is cuid dár gclár leanúnach an pictiúr seachtainiúil seo Achoimre ar Chód Mailíseach, áit a ndéanaimid bailíochtú ar bhagairtí nua agus faisnéis inghníomhaithe a sholáthar chun cabhrú le foirne DevSecOps a gcuid a chosaint pipelinesula dtarlaíonn damáiste. Déanaimis miondealú ar a bhfuaireamar an tseachtain seo agus cén fáth go bhfuil sé tábhachtach.
90+ Pacáiste. Seachtain amháin. An Pipeline An Sprioc.
Léiríonn achoimre na seachtaine seo athrú i bhfócas an ionsaitheora, ní hamháin an toirt, ach an réamh-cisian. Tuilte leaganacha leanúnacha, braislí uirlisí AI, goid dintiúir ciseal MCP, agus ionsaithe mearbhaill spleáchais i gcoinne spásanna ainm monarepo inmheánacha. Tá na feachtais uathoibrithe agus leanúnach. Ní cosaint í scanadh seachtainiúil.
Rabhadh Luath maidir le Bogearraí Mailíseacha Xygeni déanann monatóireacht ar npm, PyPI, agus clárlanna eile i bhfíor-am, ag tabhairt faoi deara bagairtí tráth a bhfoilsithe, sula sroicheann siad tógáil, sula suiteálann gníomhaire AI iad go huathrialach, agus sula mbíonn deis ag ualach oibre i stíl SkillLeak a fhorghníomhú. anthropic-toolkit foilsíonn 20 leagan in aon lá amháin nó cursed-modules tuilteann npm le leagan 999.x thar dhá lá, tá braiteadh a ritheann i ndiaidh an fhíric rómhall cheana féin.
Xygeni's Open Source Security Tugann an t-ardán seo an bhrath agus an tosaíocht fíor-ama atá riachtanach do fhoirne DevSecOps chun fanacht chun tosaigh ar bhrú comhordaithe sa slabhra soláthair, ionas go mbeidh do pipelinefan glan gan moill a chur ar do fhoirne.




