દર અઠવાડિયે, અમારી માલવેર શોધ સિસ્ટમ્સ npm અને PyPI જેવી જાહેર રજિસ્ટ્રીમાં હજારો નવા અને અપડેટેડ પેકેજોને સ્કેન કરે છે. આ અઠવાડિયું પણ તેનો અપવાદ નહોતું.
અમે 26 જૂનથી 3 જુલાઈ, 2026 દરમિયાન npm અને PyPI પર 90 થી વધુ દૂષિત પેકેજોની પુષ્ટિ કરી છે, જેમાં પાછલા અઠવાડિયાથી ઘણી ઝુંબેશો ચાલુ છે અને નવા પણ બહાર આવ્યા છે.
આ nolimit-agent ઝુંબેશ નવા સંસ્કરણો (1.0.306, 1.0.315, 1.0.316) પ્રકાશિત કરવાનું ચાલુ રાખ્યું, જેમાં Microsoft 365 ડિવાઇસ-કોડ ફિશિંગ ફ્રેમવર્કનો વિસ્તાર કરવામાં આવ્યો જે અમે અમારામાં વિગતવાર દસ્તાવેજીકરણ કર્યું છે. ડિવાઇસડોર રિપોર્ટ. આ anthropic-toolkit ક્લસ્ટર એ પ્રબળ નવી ઝુંબેશ હતી, જેમાં 30 જૂનના રોજ 20 સંસ્કરણોની પુષ્ટિ થઈ હતી - જે એન્થ્રોપિકના ડેવલપર ટૂલિંગ સાથે સંકળાયેલા પેકેજોને સીધા લક્ષ્ય બનાવતી હતી. cursed-modules પરિવારે 1 જુલાઈ અને 2 જુલાઈ વચ્ચે બંને દેશોમાં 15 થી વધુ આવૃત્તિઓ પ્રકાશિત કરી standard અને ડિપેન્ડન્સી કન્ફ્યુઝન પ્લેબુકને અનુસરીને, ફૂલેલા વર્ઝન નંબરો (999.x). date-fns-lite ક્લસ્ટર (5 આવૃત્તિઓ, 2 જુલાઈ) એ કાયદેસર, વ્યાપકપણે ઉપયોગમાં લેવાતા ઉપયોગિતા પેકેજોનો ઢોંગ કરવાની રીત ચાલુ રાખી.
ગયા અઠવાડિયે AI ટૂલિંગ ટાર્ગેટિંગ પેટર્ન સ્થાપિત થઈ ollama-helpers અને openai-agents-helpers આ સમયગાળા સુધી લંબાવવામાં આવ્યું છે જેમાં ai-explain, ai-sdk-helpers, અને @langgraphjs/toolkit, બધા 28 જૂન અને 30 જૂન વચ્ચે પુષ્ટિ થયેલ છે. @szc-ft/mcp-szcd-client પેકેજ (આવૃત્તિઓ 0.38.0 અને 0.39.0, 2 જુલાઈના રોજ પુષ્ટિ થયેલ) એ એક નવી પેટર્ન રજૂ કરી જે અમે ટ્રેક કરી રહ્યા છીએ સ્કિલલીક: ઇન્સ્ટોલ હૂકને બદલે MCP કૌશલ્યની અંદર છુપાયેલ ઓળખપત્ર ડિક્રિપ્ટર, જે પોસ્ટઇન્સ્ટોલ પર બંધ થતા સ્કેનરો માટે અદ્રશ્ય છે. અમે એક પ્રકાશિત કર્યું સ્કિલલીકનું સંપૂર્ણ વિશ્લેષણ અહીં.
આ સાપ્તાહિક સ્નેપશોટ અમારા ચાલુ દૂષિત કોડ ડાયજેસ્ટ, જ્યાં અમે નવા જોખમોને માન્ય કરીએ છીએ અને DevSecOps ટીમોને તેમના pipelineનુકસાન થાય તે પહેલાં. ચાલો આ અઠવાડિયે આપણને શું મળ્યું અને તે શા માટે મહત્વનું છે તે વિભાજીત કરીએ.
૯૦+ પેકેજો. એક અઠવાડિયું. આ Pipeline લક્ષ્ય છે.
આ અઠવાડિયાનું ડાયજેસ્ટ હુમલાખોરના ફોકસમાં પરિવર્તનને પ્રતિબિંબિત કરે છે, ફક્ત વોલ્યુમમાં જ નહીં, પરંતુ પૂર્વમાં પણcisઆયન. સતત વર્ઝન ફ્લડિંગ, AI ટૂલિંગ ક્લસ્ટર્સ, MCP-લેયર ઓળખપત્ર ચોરી, અને આંતરિક મોનોરેપો નેમસ્પેસ સામે નિર્ભરતા મૂંઝવણ હુમલાઓ. ઝુંબેશ સ્વચાલિત અને સતત છે. સાપ્તાહિક સ્કેન એ બચાવ નથી.
ઝાયજેની પ્રારંભિક માલવેર ચેતવણી npm, PyPI અને અન્ય રજિસ્ટ્રીઓનું રીઅલ ટાઇમમાં નિરીક્ષણ કરે છે, પ્રકાશન સમયે, બિલ્ડ સુધી પહોંચે તે પહેલાં, AI એજન્ટ તેમને સ્વાયત્ત રીતે ઇન્સ્ટોલ કરે તે પહેલાં અને SkillLeak-શૈલીના પેલોડને એક્ઝિક્યુટ કરવાની તક મળે તે પહેલાં ધમકીઓને ફ્લેગ કરે છે. જ્યારે anthropic-toolkit એક જ દિવસમાં 20 આવૃત્તિઓ પ્રકાશિત કરે છે અથવા cursed-modules બે દિવસ સુધી npm માં 999.x વર્ઝન ભરાઈ જાય છે, હકીકત પછી શોધ ખૂબ મોડું થઈ ગયું છે.
ક્ષયગેનીસ Open Source Security પ્લેટફોર્મ DevSecOps ટીમોને સંકલિત સપ્લાય ચેઇન દબાણથી આગળ રહેવા માટે જરૂરી રીઅલ-ટાઇમ શોધ અને પ્રાથમિકતા આપે છે, જેથી તમારા pipelineતમારી ટીમોને ધીમી પાડ્યા વિના સ્વચ્છ રહો.




