Her hefte, pergalên me yên tespîtkirina malware bi hezaran pakêtên nû û nûjenkirî li seranserê qeydên giştî yên wekî npm û PyPI dişopînin. Ev hefte jî ji vê yekê îstîsna nebû.
Me di navbera 26ê Hezîran û 3yê Tîrmeha 2026an de li seranserê npm û PyPIyê zêdetirî 90 pakêtên zirardar piştrast kirin, digel çend kampanyayên ji hefteyên berê berdewam kirin û yên nû derketin holê.
Ew nolimit-agent kampanyayê weşandina guhertoyên nû (1.0.306, 1.0.315, 1.0.316) berdewam kir, û çarçoveya phishing a koda cîhazê ya Microsoft 365-ê ku me bi berfirehî di me de belge kir, berfireh kir. Rapora DeviceDoor. Ew anthropic-toolkit kluster kampanyaya nû ya serdest bû, bi 20 guhertoyên ku tenê di 30ê Hezîranê de hatin piştrast kirin - rasterast pakêtên ku bi amûrên pêşdebirên Anthropic ve girêdayî ne hedef digirin. cursed-modules malbatê di navbera 1ê Tîrmehê û 2yê Tîrmehê de li her du welatan zêdetirî 15 guhertoyên weşand. standard û hejmarên guhertoyên zêdekirî (999.x), li gorî pirtûka lîstika tevliheviya girêdayîbûnê. date-fns-lite cluster (5 guhertoyên, 2ê Tîrmehê) şêwaza xwe ya teqlîdkirina pakêtên karûbar ên rewa û bi berfirehî têne bikar anîn domand.
Şêweya armanckirina amûrên AI-ê ku hefteya borî bi ollama-helpers û openai-agents-helpers bi vê heyamê re hatiye dirêjkirin ai-explain, ai-sdk-helpers, û @langgraphjs/toolkit, hemû di navbera 28ê Hezîranê û 30ê Hezîranê de hatine piştrastkirin. @szc-ft/mcp-szcd-client pakêt (guhertoyên 0.38.0 û 0.39.0, di 2-ê Tîrmehê de hatin piştrastkirin) qalibek nû destnîşan kir ku em wekî wê dişopînin SkillLeak: deşîfrekerek bawernameyê ku di nav jêhatîbûnek MCP de veşartî ye ne ku çengelek sazkirinê ye, ji skanerên ku piştî sazkirinê rawestiyane nayê dîtin. Me weşand analîza tevahî ya SkillLeak li vir e.
Ev wêneya heftane beşek ji xebatên me yên berdewam e. Kurteya Koda Xerabkar, ku em gefên nû piştrast dikin û îstîxbarata çalak peyda dikin da ku alîkariya tîmên DevSecOps bikin ku xwe biparêzin pipelineberî ku zirar çêbibe. Werin em vê hefteyê tiştên ku me dîtin û çima girîng in, parve bikin.
90+ Pakêt. Hefteyek. Ew Pipeline Hedef e.
Kurteya vê hefteyê guhertinek di balkişandina êrîşkar de nîşan dide, ne tenê hejmar, lê di heman demê de pêşwext jî.cisîyon. Lehiya guhertoyên domdar, komên amûrên AI, diziya bawernameyên qata MCP, û êrîşên tevliheviya girêdayîbûnê li dijî navên monorepo yên navxweyî. Kampanya otomatîk û berdewam in. Skenkirina heftane ne parastinek e.
Hişyariya Zû ya Malware ya Xygeni npm, PyPI, û qeydên din di wextê rast de dişopîne, gefan di kêliya weşanê de, berî ku ew bigihîjin avahiyek, berî ku ajanek AI wan bi awayekî xweser saz bike, û berî ku barkêşek bi şêwaza SkillLeak şansê bicîhanînê hebe, nîşan dide. Dema ku anthropic-toolkit di rojekê de 20 versiyonan çap dike an jî cursed-modules npm bi guhertoya 999.x di du rojan de tijî dike, tesbîtkirina ku piştî rastiyê dimeşe jixwe pir dereng e.
Xygeni's Open Source Security platform ji tîmên DevSecOps re tespîtkirin û pêşîniyên rast-dem ên ku hewce ne dide da ku li pêşiya zexta zincîra dabînkirinê ya hevrêz bimînin, ji ber vê yekê ya we pipelinebêyî ku tîmên xwe hêdî bikin paqij bimînin.




