हरेक हप्ता, हाम्रो मालवेयर पत्ता लगाउने प्रणालीहरूले npm र PyPI जस्ता सार्वजनिक रजिस्ट्रीहरूमा हजारौं नयाँ र अद्यावधिक गरिएका प्याकेजहरू स्क्यान गर्छन्। यो हप्ता पनि यसको अपवाद थिएन।
हामीले जुन २६ देखि जुलाई ३, २०२६ सम्म npm र PyPI भरि ९० भन्दा बढी मालिसियस प्याकेजहरू पुष्टि गर्यौं, जसमा अघिल्ला हप्ताहरूबाट धेरै अभियानहरू जारी रहे र नयाँहरू देखा परे।
यो nolimit-agent अभियानले नयाँ संस्करणहरू (१.०.३०६, १.०.३१५, १.०.३१६) प्रकाशित गर्न जारी राख्यो, जसले हाम्रो मा विस्तृत रूपमा दस्तावेजीकरण गरिएको माइक्रोसफ्ट ३६५ उपकरण-कोड फिसिङ फ्रेमवर्कलाई विस्तार गर्यो। उपकरणको ढोका रिपोर्ट। यो anthropic-toolkit क्लस्टर प्रमुख नयाँ अभियान थियो, जुन ३० मा मात्र २० संस्करणहरू पुष्टि भएका थिए - एन्थ्रोपिकको विकासकर्ता उपकरणसँग सम्बन्धित प्याकेजहरूलाई प्रत्यक्ष रूपमा लक्षित गर्दै। cursed-modules परिवारले जुलाई १ र जुलाई २ बीच दुवैमा १५ भन्दा बढी संस्करणहरू प्रकाशित गर्यो standard र बढाइएको संस्करण संख्याहरू (999.x), निर्भरता भ्रम प्लेबुक पछ्याउँदै। date-fns-lite क्लस्टर (५ संस्करण, जुलाई २) ले वैध, व्यापक रूपमा प्रयोग हुने उपयोगिता प्याकेजहरूको नक्कल गर्ने ढाँचालाई निरन्तरता दियो।
गत हप्ता स्थापित एआई टूलिङ लक्ष्यीकरण ढाँचा ollama-helpers र openai-agents-helpers यस अवधिमा विस्तार गरिएको ai-explain, ai-sdk-helpers, र @langgraphjs/toolkit, जुन २८ र जुन ३० बीचमा सबै पुष्टि भयो। @szc-ft/mcp-szcd-client प्याकेज (संस्करण ०.३८.० र ०.३९.०, जुलाई २ मा पुष्टि गरिएको) ले हामीले ट्र्याक गरिरहेको नयाँ ढाँचा प्रस्तुत गर्यो स्किललिक: स्थापना हुकको सट्टा MCP सीप भित्र लुकेको क्रेडेन्सियल डिक्रिप्टर, पोस्टइन्स्टलमा रोकिने स्क्यानरहरूमा अदृश्य। हामीले एउटा प्रकाशित गर्यौं स्किललिकको पूर्ण विश्लेषण यहाँ छ.
यो साप्ताहिक स्न्यापसट हाम्रो निरन्तरको अंश हो दुर्भावनापूर्ण कोड डाइजेस्ट, जहाँ हामी नयाँ खतराहरूलाई प्रमाणित गर्छौं र DevSecOps टोलीहरूलाई उनीहरूको सुरक्षा गर्न मद्दत गर्न कारबाहीयोग्य गुप्तचर प्रदान गर्छौं pipelineक्षति हुनुभन्दा पहिले। यस हप्ता हामीले के पायौं र यो किन महत्त्वपूर्ण छ भनेर छलफल गरौं।
९०+ प्याकेजहरू। एक हप्ता। द Pipeline लक्ष्य हो।
यस हप्ताको डाइजेस्टले आक्रमणकारीको ध्यानमा आएको परिवर्तनलाई प्रतिबिम्बित गर्दछ, केवल मात्रामा मात्र होइन, तर पूर्वcisआयन। निरन्तर संस्करण बाढी, एआई टूलिङ क्लस्टरहरू, MCP-तह प्रमाणपत्र चोरी, र आन्तरिक मोनोरेपो नेमस्पेसहरू विरुद्ध निर्भरता भ्रम आक्रमणहरू। अभियानहरू स्वचालित र निरन्तर छन्। साप्ताहिक स्क्यान बचाउ होइन।
Xygeni प्रारम्भिक मालवेयर चेतावनी npm, PyPI, र अन्य रजिस्ट्रीहरूलाई वास्तविक समयमा निगरानी गर्दछ, प्रकाशनको क्षणमा खतराहरू फ्ल्याग गर्दछ, तिनीहरू निर्माणमा पुग्नु अघि, AI एजेन्टले तिनीहरूलाई स्वायत्त रूपमा स्थापना गर्नु अघि, र SkillLeak-शैलीको पेलोडले कार्यान्वयन गर्ने मौका पाउनु अघि। जब anthropic-toolkit एकै दिनमा २० संस्करणहरू प्रकाशित गर्दछ वा cursed-modules दुई दिनसम्म npm मा संस्करण ९९९.x भरियो, तथ्य पछि पत्ता लगाउने काम पहिले नै धेरै ढिलो भइसकेको छ।
जाइगेनीको Open Source Security प्लेटफर्मले DevSecOps टोलीहरूलाई समन्वित आपूर्ति श्रृंखला दबाबभन्दा अगाडि रहन आवश्यक वास्तविक-समय पत्ता लगाउने र प्राथमिकीकरण प्रदान गर्दछ, त्यसैले तपाईंको pipelineआफ्नो टोलीलाई ढिलो नगरी सफा रहनुहोस्।




