Isan-kerinandro, ny rafitra famantarana malware anay dia mijery fonosana vaovao sy nohavaozina an'arivony manerana ny rejisitra ho an'ny daholobe toa ny npm sy PyPI. Tsy niavaka tamin'izany ity herinandro ity.
Nanamafy fonosana mampidi-doza maherin'ny 90 izahay teo anelanelan'ny 26 Jona sy 3 Jolay 2026, manerana ny npm sy PyPI, miaraka amin'ny fampielezan-kevitra maromaro nitohy tamin'ny herinandro lasa ary nisy vaovao nipoitra.
The nolimit-agent nanohy namoaka dikan-teny vaovao (1.0.306, 1.0.315, 1.0.316) ny fanentanana, nanitatra ny rafitra phishing kaody fitaovana Microsoft 365 izay noraketinay an-tsoratra amin'ny antsipiriany tao amin'ny Tatitra momba ny DeviceDoor. The anthropic-toolkit Ny vondrona no fampielezan-kevitra vaovao nanjaka, miaraka amin'ny dikan-teny 20 voamarina tamin'ny 30 Jona fotsiny — mikendry mivantana ireo fonosana mifandraika amin'ny fitaovan'ny mpamorona Anthropic. Ny cursed-modules Namoaka dikan-teny mihoatra ny 15 ny fianakaviana teo anelanelan'ny 1 Jolay sy 2 Jolay tamin'ny roa tonta standard ary ireo laharan'ny dikan-teny nampiakatra be (999.x), manaraka ny boky torolalana momba ny fisafotofotoana momba ny fiankinan-doha. Ny date-fns-lite Nanohy ny lamina fisolokiana ireo fonosana fitaovana ara-dalàna sy ampiasaina betsaka ny cluster (dikan-5, 2 Jolay).
Ny lamina fanindriana fitaovana AI napetraka tamin'ny herinandro lasa teo ollama-helpers sy openai-agents-helpers miitatra amin'ity vanim-potoana ity miaraka amin'ny ai-explain, ai-sdk-helpers, ary @langgraphjs/toolkit, voamarina avokoa teo anelanelan'ny 28 Jona sy 30 Jona. Ny @szc-ft/mcp-szcd-client fonosana (dikan-teny 0.38.0 sy 0.39.0, nohamafisina tamin'ny 2 Jolay) dia nampiditra lamina vaovao izay arahintsika SkillLeak: mpanala ny fahazoan-dàlana miafina ao anatin'ny fahaiza-manao MCP fa tsy "install hook", tsy hitan'ny scanner izay mijanona aorian'ny fametrahana. Namoaka izahay eto ny fanadihadiana feno momba ny SkillLeak.
Ity topimaso isan-kerinandro ity dia anisan'ny hetsika mitohy ataonay Famintinana ny kaody ratsy, izay hanamarinanay ireo fandrahonana vaovao ary hanomezanay fampahalalana azo ampiharina mba hanampiana ireo ekipa DevSecOps hiaro ny azy ireo pipelinealohan'ny hitrangan'ny fahasimbana. Andeha hojerentsika izay hitantsika tamin'ity herinandro ity sy ny antony maha-zava-dehibe izany.
Fonosana 90+. Herinandro iray. Ny Pipeline Izy no lasibatra.
Ny famintinana amin'ity herinandro ity dia maneho fiovan'ny fifantohan'ny mpanafika, tsy ny habetsahana fotsiny, fa ny mialoha ihany koa.cision. Fiparitahan'ny dikan-teny mitohy, vondrona fitaovana AI, halatra fahazoan-dàlana MCP-layer, ary fanafihana fisafotofotoana fiankinan-doha amin'ny habaka anarana monorepo anatiny. Mandeha ho azy sy mitohy ireo fampielezan-kevitra. Tsy fiarovana ny scan isan-kerinandro.
Fampitandremana momba ny rindrambaiko maloto mialoha ny Xygeni manara-maso ny npm, PyPI, ary ireo rejisitra hafa amin'ny fotoana tena izy, manamarika ireo fandrahonana amin'ny fotoana famoahana azy, alohan'ny hahatongavany amin'ny fananganana, alohan'ny hametrahana azy ireo ho azy ireo ataon'ny mpiasan'ny AI, ary alohan'ny ahafahan'ny entana SkillLeak manatanteraka izany. Rehefa anthropic-toolkit mamoaka dikan-teny 20 ao anatin'ny iray andro na cursed-modules tondraka ny npm miaraka amin'ny version 999.x mandritra ny roa andro, ny fitadiavana izay miasa aorian'ny zava-misy dia efa tara loatra.
Xygeni's Open Source Security Ny sehatra dia manome ny ekipa DevSecOps ny famantarana sy ny laharam-pahamehana amin'ny fotoana tena izy ilaina mba hijanonana ho lohalaharana amin'ny tsindry mirindra amin'ny rojo famatsiana, mba hahafahanao pipelineMijanona ho madio nefa tsy mampihena ny hafainganam-pandehan'ny ekipanao.




