Gach seachdain, bidh na siostaman lorg malware againn a’ sganadh mìltean de phasganan ùra is ùraichte thar chlàran poblach leithid npm agus PyPI. Cha robh an t-seachdain seo na eisgeachd.
Dhearbh sinn còrr is 90 pasgan droch-rùnach eadar 26 Ògmhios agus 3 Iuchar, 2026, air feadh npm agus PyPI, le grunn iomairtean a’ leantainn bho sheachdainean roimhe agus feadhainn ùra a’ nochdadh.
Tha nolimit-agent lean an iomairt air adhart a’ foillseachadh dreachan ùra (1.0.306, 1.0.315, 1.0.316), a’ leudachadh frèam-obrach fiosgaich còd innealan Microsoft 365 a chlàraich sinn gu mionaideach anns an Aithisg DeviceDoor. Tha anthropic-toolkit B’ e cluster an iomairt ùr as cudromaiche, le 20 dreach air an dearbhadh air 30 Ògmhios a-mhàin — ag amas gu dìreach air pacaidean co-cheangailte ri innealan luchd-leasachaidh Anthropic. cursed-modules dh’fhoillsich an teaghlach còrr is 15 dreach eadar 1 Iuchar agus 2 Iuchar thar an dà chuid standard agus àireamhan tionndaidhean àrdaichte (999.x), a’ leantainn leabhar-cluiche troimh-chèile eisimeileachd. date-fns-lite Lean cluster (5 dreachan, 2 Iuchar) air adhart leis a’ phàtran de bhith ag atharrais air pasganan goireis dligheach, a thathas a’ cleachdadh gu farsaing.
Am pàtran targaideadh innealan AI a chaidh a stèidheachadh an t-seachdain sa chaidh le ollama-helpers agus openai-agents-helpers air a leudachadh a-steach don ùine seo le ai-explain, ai-sdk-helpers, agus @langgraphjs/toolkit, uile air an dearbhadh eadar 28 Ògmhios agus 30 Ògmhios. An @szc-ft/mcp-szcd-client Thug am pasgan (tionndaidhean 0.38.0 agus 0.39.0, dearbhte air 2 Iuchar) pàtran ùr a-steach a tha sinn a’ leantainn mar SgilLeak: inneal dì-chrioptachaidh teisteanasan falaichte taobh a-staigh sgil MCP seach dubhan stàlaidh, do-fhaicsinneach do sganairean a stadas aig àm iar-stàlaidh. Dh’fhoillsich sinn a làn sgrùdadh SkillLeak an seo.
Tha an dealbh-sgrìn seachdaineil seo mar phàirt den obair leantainneach againn Geàrr-chunntas Còd Mì-rùnach, far am bi sinn a’ dearbhadh bagairtean ùra agus a’ toirt seachad fiosrachadh obrachail gus sgiobaidhean DevSecOps a chuideachadh gus an cuid a dhìon pipelinemus tachair milleadh. Leig dhuinn briseadh sìos na lorg sinn an t-seachdain seo agus carson a tha e cudromach.
90+ Pasgan. Aon Seachdain. An Pipeline Is e an Targaid.
Tha geàrr-chunntas na seachdain seo a’ nochdadh gluasad ann am fòcas luchd-ionnsaigh, chan ann a-mhàin meud, ach ro-làimhcisIonnsachaidhean troimh-chèile eisimeileachd an aghaidh àiteachan ainm monorepo a-staigh. Tha na h-iomairtean fèin-ghluasadach agus leantainneach. Chan e dìon a th’ ann an sganadh seachdaineil.
Rabhadh Tràth mu Bhathar-bog Malware Xygeni a’ cumail sùil air npm, PyPI, agus clàran eile ann an àm fìor, a’ comharrachadh bhagairtean aig àm foillseachaidh, mus ruig iad togail, mus cuir riochdaire AI a-steach iad gu fèin-ghluasadach, agus mus bi cothrom aig luchd-pàighidh stoidhle SkillLeak a bhith air a chur an gnìomh. anthropic-toolkit a’ foillseachadh 20 dreach ann an aon latha no cursed-modules a’ lìonadh npm le dreach 999.x thar dà latha, tha lorg a ruitheas às dèidh na fìrinn ro fhadalach mu thràth.
Xygeni's Open Source Security Bidh an àrd-ùrlar a’ toirt do sgiobaidhean DevSecOps an lorg agus am prìomhachas fìor-ùine a dh’ fheumar gus fuireach air thoiseach air cuideam slabhraidh solair co-òrdanaichte, agus mar sin bidh do pipelines fuirich glan gun a bhith a’ cur bacadh air na sgiobaidhean agad.




