ಪ್ರತಿ ವಾರ, ನಮ್ಮ ಮಾಲ್ವೇರ್ ಪತ್ತೆ ವ್ಯವಸ್ಥೆಗಳು npm ಮತ್ತು PyPI ನಂತಹ ಸಾರ್ವಜನಿಕ ನೋಂದಣಿಗಳಲ್ಲಿ ಸಾವಿರಾರು ಹೊಸ ಮತ್ತು ನವೀಕರಿಸಿದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುತ್ತವೆ. ಈ ವಾರವೂ ಇದಕ್ಕೆ ಹೊರತಾಗಿರಲಿಲ್ಲ.
ಜೂನ್ 26 ರಿಂದ ಜುಲೈ 3, 2026 ರ ನಡುವೆ npm ಮತ್ತು PyPI ನಾದ್ಯಂತ 90 ಕ್ಕೂ ಹೆಚ್ಚು ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ನಾವು ದೃಢಪಡಿಸಿದ್ದೇವೆ, ಹಿಂದಿನ ವಾರಗಳಿಂದ ಹಲವಾರು ಅಭಿಯಾನಗಳು ಮುಂದುವರೆದಿವೆ ಮತ್ತು ಹೊಸವುಗಳು ಹೊರಹೊಮ್ಮುತ್ತಿವೆ.
ನಮ್ಮ nolimit-agent ಅಭಿಯಾನವು ಹೊಸ ಆವೃತ್ತಿಗಳನ್ನು (1.0.306, 1.0.315, 1.0.316) ಪ್ರಕಟಿಸುವುದನ್ನು ಮುಂದುವರೆಸಿತು, ನಮ್ಮ ನಲ್ಲಿ ನಾವು ವಿವರವಾಗಿ ದಾಖಲಿಸಿರುವ ಮೈಕ್ರೋಸಾಫ್ಟ್ 365 ಸಾಧನ-ಕೋಡ್ ಫಿಶಿಂಗ್ ಚೌಕಟ್ಟನ್ನು ವಿಸ್ತರಿಸಿತು. DeviceDoor ವರದಿ. ದಿ anthropic-toolkit ಜೂನ್ 30 ರಂದು ಮಾತ್ರ 20 ಆವೃತ್ತಿಗಳನ್ನು ದೃಢಪಡಿಸಲಾಯಿತು - ಆಂಥ್ರೊಪಿಕ್ನ ಡೆವಲಪರ್ ಪರಿಕರಗಳೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ನೇರವಾಗಿ ಗುರಿಯಾಗಿಸಿಕೊಂಡು ಕ್ಲಸ್ಟರ್ ಪ್ರಬಲವಾದ ಹೊಸ ಅಭಿಯಾನವಾಗಿತ್ತು. cursed-modules ಜುಲೈ 1 ಮತ್ತು ಜುಲೈ 2 ರ ನಡುವೆ ಕುಟುಂಬವು ಎರಡರಲ್ಲೂ 15 ಕ್ಕೂ ಹೆಚ್ಚು ಆವೃತ್ತಿಗಳನ್ನು ಪ್ರಕಟಿಸಿದೆ. standard ಮತ್ತು ಅವಲಂಬನೆ ಗೊಂದಲ ಪ್ಲೇಬುಕ್ ಅನ್ನು ಅನುಸರಿಸಿ, ಉಬ್ಬಿಕೊಂಡಿರುವ ಆವೃತ್ತಿ ಸಂಖ್ಯೆಗಳು (999.x). date-fns-lite ಕ್ಲಸ್ಟರ್ (5 ಆವೃತ್ತಿಗಳು, ಜುಲೈ 2) ಕಾನೂನುಬದ್ಧ, ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುವ ಯುಟಿಲಿಟಿ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಅನುಕರಿಸುವ ಮಾದರಿಯನ್ನು ಮುಂದುವರೆಸಿತು.
ಕಳೆದ ವಾರ ಸ್ಥಾಪಿಸಲಾದ AI ಪರಿಕರಗಳ ಗುರಿ ಮಾದರಿ ollama-helpers ಮತ್ತು openai-agents-helpers ಈ ಅವಧಿಯಲ್ಲಿ ವಿಸ್ತರಿಸಲಾಗಿದೆ ai-explain, ai-sdk-helpers, ಮತ್ತು @langgraphjs/toolkit, ಜೂನ್ 28 ಮತ್ತು ಜೂನ್ 30 ರ ನಡುವೆ ಎಲ್ಲವೂ ದೃಢಪಟ್ಟಿದೆ. ದಿ @szc-ft/mcp-szcd-client ಪ್ಯಾಕೇಜ್ (ಆವೃತ್ತಿಗಳು 0.38.0 ಮತ್ತು 0.39.0, ಜುಲೈ 2 ರಂದು ದೃಢಪಡಿಸಲಾಗಿದೆ) ನಾವು ಟ್ರ್ಯಾಕ್ ಮಾಡುತ್ತಿರುವ ಹೊಸ ಮಾದರಿಯನ್ನು ಪರಿಚಯಿಸಿದೆ. ಸ್ಕಿಲ್ಲೀಕ್: ಇನ್ಸ್ಟಾಲ್ ಹುಕ್ಗಿಂತ MCP ಕೌಶಲ್ಯದೊಳಗೆ ಅಡಗಿರುವ ಕ್ರೆಡೆನ್ಶಿಯಲ್ ಡೀಕ್ರಿಪ್ಟರ್, ಪೋಸ್ಟ್ಇನ್ಸ್ಟಾಲ್ನಲ್ಲಿ ನಿಲ್ಲುವ ಸ್ಕ್ಯಾನರ್ಗಳಿಗೆ ಅಗೋಚರವಾಗಿರುತ್ತದೆ. ನಾವು ಪ್ರಕಟಿಸಿದ್ದೇವೆ ಸ್ಕಿಲ್ಲೀಕ್ನ ಸಂಪೂರ್ಣ ವಿಶ್ಲೇಷಣೆ ಇಲ್ಲಿ.
ಈ ಸಾಪ್ತಾಹಿಕ ಸ್ನ್ಯಾಪ್ಶಾಟ್ ನಮ್ಮ ನಡೆಯುತ್ತಿರುವ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಡೈಜೆಸ್ಟ್, ಅಲ್ಲಿ ನಾವು ಹೊಸ ಬೆದರಿಕೆಗಳನ್ನು ಮೌಲ್ಯೀಕರಿಸುತ್ತೇವೆ ಮತ್ತು DevSecOps ತಂಡಗಳು ತಮ್ಮ ರಕ್ಷಣೆಗೆ ಸಹಾಯ ಮಾಡಲು ಕಾರ್ಯಸಾಧ್ಯ ಗುಪ್ತಚರವನ್ನು ಒದಗಿಸುತ್ತೇವೆ pipelineಹಾನಿ ಸಂಭವಿಸುವ ಮೊದಲು ರು. ಈ ವಾರ ನಾವು ಕಂಡುಕೊಂಡದ್ದನ್ನು ಮತ್ತು ಅದು ಏಕೆ ಮುಖ್ಯವಾಗಿದೆ ಎಂಬುದನ್ನು ವಿವರಿಸೋಣ.
90+ ಪ್ಯಾಕೇಜ್ಗಳು. ಒಂದು ವಾರ. ದಿ Pipeline ಗುರಿಯಾಗಿದೆ.
ಈ ವಾರದ ಡೈಜೆಸ್ಟ್ ದಾಳಿಕೋರರ ಗಮನದಲ್ಲಿನ ಬದಲಾವಣೆಯನ್ನು ಪ್ರತಿಬಿಂಬಿಸುತ್ತದೆ, ಕೇವಲ ಪರಿಮಾಣವಲ್ಲ, ಆದರೆ ಪೂರ್ವcisಅಯಾನು. ಸುಸ್ಥಿರ ಆವೃತ್ತಿ ಪ್ರವಾಹ, AI ಪರಿಕರಗಳ ಕ್ಲಸ್ಟರ್ಗಳು, MCP-ಲೇಯರ್ ರುಜುವಾತು ಕಳ್ಳತನ ಮತ್ತು ಆಂತರಿಕ ಮಾನೋರೆಪೋ ನೇಮ್ಸ್ಪೇಸ್ಗಳ ವಿರುದ್ಧ ಅವಲಂಬನೆ ಗೊಂದಲ ದಾಳಿಗಳು. ಅಭಿಯಾನಗಳು ಸ್ವಯಂಚಾಲಿತ ಮತ್ತು ನಿರಂತರವಾಗಿರುತ್ತವೆ. ಸಾಪ್ತಾಹಿಕ ಸ್ಕ್ಯಾನ್ ರಕ್ಷಣೆಯಲ್ಲ.
Xygeni ಮಾಲ್ವೇರ್ ಬಗ್ಗೆ ಆರಂಭಿಕ ಎಚ್ಚರಿಕೆ npm, PyPI ಮತ್ತು ಇತರ ನೋಂದಣಿಗಳನ್ನು ನೈಜ ಸಮಯದಲ್ಲಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತದೆ, ಪ್ರಕಟಣೆಯ ಕ್ಷಣದಲ್ಲಿ, ಅವು ಬಿಲ್ಡ್ ಅನ್ನು ತಲುಪುವ ಮೊದಲು, AI ಏಜೆಂಟ್ ಅವುಗಳನ್ನು ಸ್ವಾಯತ್ತವಾಗಿ ಸ್ಥಾಪಿಸುವ ಮೊದಲು ಮತ್ತು SkillLeak-ಶೈಲಿಯ ಪೇಲೋಡ್ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅವಕಾಶವನ್ನು ಪಡೆಯುವ ಮೊದಲು ಬೆದರಿಕೆಗಳನ್ನು ಫ್ಲ್ಯಾಗ್ ಮಾಡುತ್ತದೆ. ಯಾವಾಗ anthropic-toolkit ಒಂದೇ ದಿನದಲ್ಲಿ 20 ಆವೃತ್ತಿಗಳನ್ನು ಪ್ರಕಟಿಸುತ್ತದೆ ಅಥವಾ cursed-modules ಎರಡು ದಿನಗಳಲ್ಲಿ ಆವೃತ್ತಿ 999.x ನೊಂದಿಗೆ npm ಅನ್ನು ತುಂಬುತ್ತದೆ, ವಾಸ್ತವದ ನಂತರ ನಡೆಯುವ ಪತ್ತೆ ಈಗಾಗಲೇ ತುಂಬಾ ತಡವಾಗಿದೆ.
ಕ್ಸಿಜೆನಿ Open Source Security ಪ್ಲಾಟ್ಫಾರ್ಮ್ DevSecOps ತಂಡಗಳಿಗೆ ಸಂಘಟಿತ ಪೂರೈಕೆ ಸರಪಳಿ ಒತ್ತಡಕ್ಕಿಂತ ಮುಂದೆ ಇರಲು ಅಗತ್ಯವಿರುವ ನೈಜ-ಸಮಯದ ಪತ್ತೆ ಮತ್ತು ಆದ್ಯತೆಯನ್ನು ನೀಡುತ್ತದೆ, ಆದ್ದರಿಂದ ನಿಮ್ಮ pipelineನಿಮ್ಮ ತಂಡಗಳನ್ನು ನಿಧಾನಗೊಳಿಸದೆ ಸ್ವಚ್ಛವಾಗಿರಿ.




