എല്ലാ ആഴ്ചയും, ഞങ്ങളുടെ മാൽവെയർ കണ്ടെത്തൽ സംവിധാനങ്ങൾ npm, PyPI പോലുള്ള പൊതു രജിസ്ട്രികളിലുടനീളം ആയിരക്കണക്കിന് പുതിയതും അപ്ഡേറ്റ് ചെയ്തതുമായ പാക്കേജുകൾ സ്കാൻ ചെയ്യുന്നു. ഈ ആഴ്ചയും ഒരു അപവാദമായിരുന്നില്ല.
2026 ജൂൺ 26 നും ജൂലൈ 3 നും ഇടയിൽ npm, PyPI എന്നിവയിലുടനീളം 90-ലധികം മാലിഷ്യസ് പാക്കേജുകൾ ഞങ്ങൾ സ്ഥിരീകരിച്ചു, മുൻ ആഴ്ചകളിലെ നിരവധി കാമ്പെയ്നുകൾ തുടരുകയും പുതിയവ ഉയർന്നുവരികയും ചെയ്തു.
ദി nolimit-agent ഞങ്ങളുടെ ലിസ്റ്റിൽ വിശദമായി രേഖപ്പെടുത്തിയിട്ടുള്ള Microsoft 365 ഉപകരണ-കോഡ് ഫിഷിംഗ് ഫ്രെയിംവർക്ക് വിപുലീകരിച്ചുകൊണ്ട്, കാമ്പെയ്ൻ പുതിയ പതിപ്പുകൾ (1.0.306, 1.0.315, 1.0.316) പ്രസിദ്ധീകരിക്കുന്നത് തുടർന്നു. ഡിവൈസ്ഡോർ റിപ്പോർട്ട്. ദി anthropic-toolkit ആന്ത്രോപിക് ഡെവലപ്പർ ടൂളിംഗുമായി ബന്ധപ്പെട്ട പാക്കേജുകളെ നേരിട്ട് ലക്ഷ്യം വച്ചുള്ള 20 പതിപ്പുകൾ ജൂൺ 30-ന് സ്ഥിരീകരിച്ചതോടെ, ക്ലസ്റ്റർ ആയിരുന്നു പ്രബലമായ പുതിയ കാമ്പെയ്ൻ. cursed-modules ജൂലൈ 1 നും ജൂലൈ 2 നും ഇടയിൽ രണ്ടിലുമായി കുടുംബം 15-ലധികം പതിപ്പുകൾ പ്രസിദ്ധീകരിച്ചു. standard ആശ്രിതത്വ ആശയക്കുഴപ്പം പ്ലേബുക്കിനെ തുടർന്ന്, വർദ്ധിച്ച പതിപ്പ് നമ്പറുകളും (999.x). date-fns-lite ക്ലസ്റ്റർ (5 പതിപ്പുകൾ, ജൂലൈ 2) നിയമാനുസൃതവും വ്യാപകമായി ഉപയോഗിക്കുന്നതുമായ യൂട്ടിലിറ്റി പാക്കേജുകൾ പോലെ ആൾമാറാട്ടം നടത്തുന്ന രീതി തുടർന്നു.
കഴിഞ്ഞ ആഴ്ച സ്ഥാപിതമായ AI ടൂളിംഗ് ടാർഗെറ്റിംഗ് പാറ്റേൺ ollama-helpers ഒപ്പം openai-agents-helpers ഈ കാലയളവിൽ ai-explain, ai-sdk-helpers, ഒപ്പം @langgraphjs/toolkitജൂൺ 28 നും ജൂൺ 30 നും ഇടയിൽ എല്ലാം സ്ഥിരീകരിച്ചു. @szc-ft/mcp-szcd-client പാക്കേജ് (പതിപ്പുകൾ 0.38.0 ഉം 0.39.0 ഉം, ജൂലൈ 2 ന് സ്ഥിരീകരിച്ചു) ഒരു പുതിയ പാറ്റേൺ അവതരിപ്പിച്ചു, അത് ഞങ്ങൾ ട്രാക്ക് ചെയ്യുന്നു. സ്കിൽലീക്ക്: പോസ്റ്റ്ഇൻസ്റ്റാളിൽ നിർത്തുന്ന സ്കാനറുകൾക്ക് അദൃശ്യമായ, ഒരു ഇൻസ്റ്റോൾ ഹുക്കിന് പകരം ഒരു MCP സ്കില്ലിനുള്ളിൽ മറഞ്ഞിരിക്കുന്ന ഒരു ക്രെഡൻഷ്യൽ ഡീക്രിപ്റ്റർ. ഞങ്ങൾ ഒരു പ്രസിദ്ധീകരിച്ചു. പൂർണ്ണ സ്കിൽലീക്ക് വിശകലനം ഇവിടെ.
ഈ പ്രതിവാര സ്നാപ്പ്ഷോട്ട് ഞങ്ങളുടെ തുടർച്ചയായ ക്ഷുദ്രകരമായ കോഡ് ഡൈജസ്റ്റ്, അവിടെ ഞങ്ങൾ പുതിയ ഭീഷണികളെ സാധൂകരിക്കുകയും DevSecOps ടീമുകളെ അവരുടെ സുരക്ഷ ഉറപ്പാക്കാൻ സഹായിക്കുന്നതിന് പ്രവർത്തനക്ഷമമായ ഇന്റലിജൻസ് നൽകുകയും ചെയ്യുന്നു. pipelineനാശനഷ്ടങ്ങൾ സംഭവിക്കുന്നതിന് മുമ്പ്. ഈ ആഴ്ച നമ്മൾ എന്താണ് കണ്ടെത്തിയതെന്നും അത് എന്തുകൊണ്ട് പ്രധാനമാണെന്നും നമുക്ക് വിശദീകരിക്കാം.
90+ പാക്കേജുകൾ. ഒരു ആഴ്ച. ദി Pipeline ലക്ഷ്യമാണോ?
ഈ ആഴ്ചയിലെ ഡൈജസ്റ്റ് ആക്രമണകാരിയുടെ ശ്രദ്ധയിൽ വന്ന മാറ്റത്തെ പ്രതിഫലിപ്പിക്കുന്നു, വോളിയത്തിൽ മാത്രമല്ല, മുമ്പത്തേതിലുംcisഅയോൺ. സുസ്ഥിര പതിപ്പ് ഫ്ലഡിംഗ്, AI ടൂളിംഗ് ക്ലസ്റ്ററുകൾ, MCP-ലെയർ ക്രെഡൻഷ്യൽ തെഫ്റ്റ്, ആന്തരിക മോണോറെപ്പോ നെയിംസ്പെയ്സുകൾക്കെതിരായ ആശ്രിതത്വ ആശയക്കുഴപ്പ ആക്രമണങ്ങൾ. കാമ്പെയ്നുകൾ യാന്ത്രികവും തുടർച്ചയായതുമാണ്. ആഴ്ചതോറുമുള്ള സ്കാൻ ഒരു പ്രതിരോധമല്ല.
Xygeni മാൽവെയർ മുന്നറിയിപ്പ് npm, PyPI, മറ്റ് രജിസ്ട്രികൾ എന്നിവ തത്സമയം നിരീക്ഷിക്കുന്നു, പ്രസിദ്ധീകരണ നിമിഷം, അവ ഒരു ബിൽഡിൽ എത്തുന്നതിനുമുമ്പ്, ഒരു AI ഏജന്റ് അവ സ്വയം ഇൻസ്റ്റാൾ ചെയ്യുന്നതിന് മുമ്പ്, ഒരു SkillLeak-ശൈലിയിലുള്ള പേലോഡിന് എക്സിക്യൂട്ട് ചെയ്യാൻ അവസരം ലഭിക്കുന്നതിന് മുമ്പ് ഭീഷണികൾ ഫ്ലാഗ് ചെയ്യുന്നു. anthropic-toolkit ഒരു ദിവസം 20 പതിപ്പുകൾ പ്രസിദ്ധീകരിക്കുന്നു അല്ലെങ്കിൽ cursed-modules 999.x പതിപ്പിൽ രണ്ട് ദിവസത്തേക്ക് npm നിറയുന്നു, വസ്തുതയ്ക്ക് ശേഷം പ്രവർത്തിക്കുന്ന കണ്ടെത്തൽ ഇതിനകം വളരെ വൈകിയിരിക്കുന്നു.
സൈജെനിസ് Open Source Security ഏകോപിത വിതരണ ശൃംഖലയിലെ സമ്മർദ്ദത്തിന് മുന്നിൽ നിൽക്കാൻ ആവശ്യമായ തത്സമയ കണ്ടെത്തലും മുൻഗണനയും പ്ലാറ്റ്ഫോം DevSecOps ടീമുകൾക്ക് നൽകുന്നു, അതിനാൽ നിങ്ങളുടെ pipelineനിങ്ങളുടെ ടീമുകളുടെ വേഗത കുറയ്ക്കാതെ വൃത്തിയായി തുടരുക.




