Долоо хоног бүр, манай хортой програм хангамж илрүүлэх системүүд npm болон PyPI зэрэг олон нийтийн бүртгэлүүдээр дамжуулан мянга мянган шинэ болон шинэчлэгдсэн багцуудыг сканнерддаг. Энэ долоо хоног ч онцгой тохиолдол биш байлаа.
Бид 2026 оны 6-р сарын 26-наас 7-р сарын 3-ны хооронд npm болон PyPI-ээр дамжуулан 90 гаруй хортой багц илэрсэн бөгөөд өмнөх долоо хоногуудаас хэд хэдэн кампанит ажил үргэлжилж, шинээр гарч ирж байна.
The nolimit-agent кампанит ажил нь бидний дэлгэрэнгүй баримтжуулсан Microsoft 365 төхөөрөмжийн кодын фишинг хүрээг өргөтгөж, шинэ хувилбаруудыг (1.0.306, 1.0.315, 1.0.316) үргэлжлүүлэн нийтэлсээр байна. DeviceDoor тайлан. The anthropic-toolkit кластер нь шинэ кампанит ажлын давамгайлсан хувилбар байсан бөгөөд зөвхөн зургадугаар сарын 30-нд л 20 хувилбар батлагдсан бөгөөд эдгээр нь Anthropic-ийн хөгжүүлэгчийн хэрэгслүүдтэй холбоотой багцуудыг шууд чиглүүлсэн. cursed-modules гэр бүл 7-р сарын 1-ээс 7-р сарын 2-ны хооронд хоёр улсад 15 гаруй хувилбарыг нийтэлсэн standard мөн хамаарлын төөрөгдлийн гарын авлагыг дагаад хувилбарын дугааруудыг (999.x) хөөрөгдсөн. date-fns-lite кластер (5 хувилбар, 7-р сарын 2) нь хууль ёсны, өргөн хэрэглэгддэг хэрэглээний багцуудыг дуурайсан хэв маягийг үргэлжлүүлэв.
Өнгөрсөн долоо хоногт хиймэл оюун ухааны багаж хэрэгслийн чиг хандлагын загварыг тогтоосон ollama-helpers болон openai-agents-helpers энэ хугацаанд сунгасан ai-explain, ai-sdk-helpersБолон @langgraphjs/toolkit, бүгд 6-р сарын 28-наас 6-р сарын 30-ны хооронд батлагдсан. @szc-ft/mcp-szcd-client багц (0.38.0 болон 0.39.0 хувилбарууд, 7-р сарын 2-нд батлагдсан) бидний хянаж буй шинэ загварыг танилцууллаа SkillLeak: суулгах дэгээ биш харин MCP ур чадварын дотор нуугдсан итгэмжлэлийн тайлагч, postinstall дээр зогсдог сканнеруудад харагдахгүй. Бид нийтэлсэн SkillLeak-н бүрэн дүн шинжилгээг эндээс үзнэ үү.
Энэхүү долоо хоног тутмын тойм нь бидний үргэлжилж буй үйл явдлын нэг хэсэг юм Хортой кодын дайжест, бид шинэ аюул заналхийллийг баталгаажуулж, DevSecOps багуудад өөрсдийнхөө хамгаалалтыг хамгаалахад нь туслах зорилгоор үйл ажиллагааны боломжтой мэдээлэл өгдөг pipelineхохирол учрахаас өмнө. Энэ долоо хоногт юу олсон, яагаад чухал болохыг задлан шинжилье.
90+ багц. Нэг долоо хоног. The Pipeline Бай бол.
Энэ долоо хоногийн дайжест нь зөвхөн дууны хэмжээ төдийгүй довтлогчдын анхаарлын өөрчлөлтийг тусгасан болно.cisион. Хувилбарын тасралтгүй үер, хиймэл оюун ухааны хэрэгслийн кластер, MCP давхаргын итгэмжлэлийн хулгай, мөн дотоод монорепо нэршлийн орон зайн эсрэг хамаарлын төөрөгдлийн халдлага. Кампанит ажил нь автоматжуулсан бөгөөд тасралтгүй явагддаг. Долоо хоног тутмын сканнердах нь хамгаалалт биш юм.
Xygeni-ийн эрт үеийн хортой програмын анхааруулга npm, PyPI болон бусад бүртгэлүүдийг бодит цаг хугацаанд хянаж, аюул заналыг нийтлэх мөчид, бүтээхэд хүрэхээс өмнө, хиймэл оюун ухаант агент тэдгээрийг бие даан суулгахаас өмнө болон SkillLeak маягийн ачаалал гүйцэтгэх боломжтой болохоос өмнө тэмдэглэдэг. Хэзээ anthropic-toolkit нэг өдөрт 20 хувилбарыг нийтэлдэг эсвэл cursed-modules npm-ийг 999.x хувилбараар хоёр өдрийн дотор дүүргэдэг бөгөөд баримтын дараа ажилладаг илрүүлэлт нь аль хэдийн оройтсон байдаг.
Xygeni's Open Source Security Энэ платформ нь DevSecOps багуудад зохицуулалттай хангамжийн сүлжээний дарамтаас түрүүлж гарахад шаардлагатай бодит цагийн илрүүлэлт болон эрэмбэлэлтийг өгдөг тул таны pipelineБагуудаа удаашруулахгүйгээр цэвэрхэн байгаарай.




