ਹਰੈਕ ਹਫ਼ਤੇ, ਸਾਡੇ ਮਾਲਵੇਅਰ ਖੋਜ ਸਿਸਟਮ npm ਅਤੇ PyPI ਵਰਗੀਆਂ ਜਨਤਕ ਰਜਿਸਟਰੀਆਂ ਵਿੱਚ ਹਜ਼ਾਰਾਂ ਨਵੇਂ ਅਤੇ ਅੱਪਡੇਟ ਕੀਤੇ ਪੈਕੇਜਾਂ ਨੂੰ ਸਕੈਨ ਕਰਦੇ ਹਨ। ਇਹ ਹਫ਼ਤਾ ਕੋਈ ਅਪਵਾਦ ਨਹੀਂ ਸੀ।
ਅਸੀਂ 26 ਜੂਨ ਤੋਂ 3 ਜੁਲਾਈ, 2026 ਦੇ ਵਿਚਕਾਰ npm ਅਤੇ PyPI ਵਿੱਚ 90 ਤੋਂ ਵੱਧ ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ, ਜਿਸ ਵਿੱਚ ਪਿਛਲੇ ਹਫ਼ਤਿਆਂ ਤੋਂ ਕਈ ਮੁਹਿੰਮਾਂ ਜਾਰੀ ਹਨ ਅਤੇ ਨਵੇਂ ਸਾਹਮਣੇ ਆ ਰਹੇ ਹਨ।
The nolimit-agent ਮੁਹਿੰਮ ਨੇ ਨਵੇਂ ਸੰਸਕਰਣਾਂ (1.0.306, 1.0.315, 1.0.316) ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਨਾ ਜਾਰੀ ਰੱਖਿਆ, ਮਾਈਕ੍ਰੋਸਾਫਟ 365 ਡਿਵਾਈਸ-ਕੋਡ ਫਿਸ਼ਿੰਗ ਫਰੇਮਵਰਕ ਨੂੰ ਵਧਾਉਂਦੇ ਹੋਏ ਜਿਸ ਨੂੰ ਅਸੀਂ ਸਾਡੇ ਵਿੱਚ ਵਿਸਥਾਰ ਵਿੱਚ ਦਸਤਾਵੇਜ਼ੀ ਰੂਪ ਦਿੱਤਾ ਹੈ। ਡਿਵਾਈਸਡੋਰ ਰਿਪੋਰਟ. The anthropic-toolkit ਕਲੱਸਟਰ ਪ੍ਰਮੁੱਖ ਨਵੀਂ ਮੁਹਿੰਮ ਸੀ, ਜਿਸਦੇ 20 ਸੰਸਕਰਣਾਂ ਦੀ ਪੁਸ਼ਟੀ 30 ਜੂਨ ਨੂੰ ਹੀ ਹੋਈ ਸੀ - ਜੋ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਐਂਥ੍ਰੋਪਿਕ ਦੇ ਡਿਵੈਲਪਰ ਟੂਲਿੰਗ ਨਾਲ ਜੁੜੇ ਪੈਕੇਜਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਸਨ। cursed-modules ਪਰਿਵਾਰ ਨੇ 1 ਜੁਲਾਈ ਅਤੇ 2 ਜੁਲਾਈ ਦੇ ਵਿਚਕਾਰ ਦੋਵਾਂ ਵਿੱਚ 15 ਤੋਂ ਵੱਧ ਸੰਸਕਰਣ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤੇ standard ਅਤੇ ਵਧੇ ਹੋਏ ਵਰਜਨ ਨੰਬਰ (999.x), ਨਿਰਭਰਤਾ ਉਲਝਣ ਪਲੇਬੁੱਕ ਦੇ ਬਾਅਦ। date-fns-lite ਕਲੱਸਟਰ (5 ਸੰਸਕਰਣ, 2 ਜੁਲਾਈ) ਨੇ ਜਾਇਜ਼, ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਉਪਯੋਗਤਾ ਪੈਕੇਜਾਂ ਦੀ ਨਕਲ ਕਰਨ ਦੇ ਪੈਟਰਨ ਨੂੰ ਜਾਰੀ ਰੱਖਿਆ।
ਪਿਛਲੇ ਹਫ਼ਤੇ ਸਥਾਪਿਤ ਕੀਤਾ ਗਿਆ AI ਟੂਲਿੰਗ ਟਾਰਗੇਟਿੰਗ ਪੈਟਰਨ ollama-helpers ਅਤੇ openai-agents-helpers ਇਸ ਮਿਆਦ ਵਿੱਚ ਵਧਾਇਆ ਗਿਆ ਹੈ ਜਿਸ ਨਾਲ ai-explain, ai-sdk-helpersਹੈ, ਅਤੇ @langgraphjs/toolkit, ਸਾਰੇ 28 ਜੂਨ ਅਤੇ 30 ਜੂਨ ਦੇ ਵਿਚਕਾਰ ਪੁਸ਼ਟੀ ਕੀਤੇ ਗਏ। @szc-ft/mcp-szcd-client ਪੈਕੇਜ (ਵਰਜਨ 0.38.0 ਅਤੇ 0.39.0, 2 ਜੁਲਾਈ ਨੂੰ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ) ਨੇ ਇੱਕ ਨਵਾਂ ਪੈਟਰਨ ਪੇਸ਼ ਕੀਤਾ ਜਿਸਨੂੰ ਅਸੀਂ ਟਰੈਕ ਕਰ ਰਹੇ ਹਾਂ ਸਕਿੱਲਲੀਕ: ਇੱਕ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਡੀਕ੍ਰਿਪਟਰ ਜੋ ਇੱਕ ਇੰਸਟਾਲ ਹੁੱਕ ਦੀ ਬਜਾਏ ਇੱਕ MCP ਹੁਨਰ ਦੇ ਅੰਦਰ ਲੁਕਿਆ ਹੋਇਆ ਹੈ, ਜੋ ਸਕੈਨਰਾਂ ਲਈ ਅਦਿੱਖ ਹੈ ਜੋ ਪੋਸਟਇੰਸਟਾਲ 'ਤੇ ਰੁਕਦੇ ਹਨ। ਅਸੀਂ ਇੱਕ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤਾ ਹੈ ਪੂਰਾ ਸਕਿੱਲਲੀਕ ਵਿਸ਼ਲੇਸ਼ਣ ਇੱਥੇ ਹੈ.
ਇਹ ਹਫ਼ਤਾਵਾਰੀ ਸਨੈਪਸ਼ਾਟ ਸਾਡੇ ਚੱਲ ਰਹੇ ਖ਼ਰਾਬ ਕੋਡ ਡਾਇਜੈਸਟ, ਜਿੱਥੇ ਅਸੀਂ ਨਵੇਂ ਖਤਰਿਆਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਦੇ ਹਾਂ ਅਤੇ DevSecOps ਟੀਮਾਂ ਨੂੰ ਉਹਨਾਂ ਦੀ ਸੁਰੱਖਿਆ ਵਿੱਚ ਮਦਦ ਕਰਨ ਲਈ ਕਾਰਵਾਈਯੋਗ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਾਂ pipelineਨੁਕਸਾਨ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ। ਆਓ ਇਸ ਹਫ਼ਤੇ ਸਾਨੂੰ ਕੀ ਮਿਲਿਆ ਅਤੇ ਇਹ ਕਿਉਂ ਮਾਇਨੇ ਰੱਖਦਾ ਹੈ, ਇਸ ਨੂੰ ਤੋੜੀਏ।
90+ ਪੈਕੇਜ। ਇੱਕ ਹਫ਼ਤਾ। ਦ Pipeline ਨਿਸ਼ਾਨਾ ਹੈ।
ਇਸ ਹਫ਼ਤੇ ਦਾ ਡਾਈਜੈਸਟ ਹਮਲਾਵਰ ਫੋਕਸ ਵਿੱਚ ਤਬਦੀਲੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਨਾ ਸਿਰਫ਼ ਵੌਲਯੂਮ ਵਿੱਚ, ਸਗੋਂ ਪਹਿਲਾਂ ਤੋਂcisਆਇਨ। ਨਿਰੰਤਰ ਵਰਜਨ ਹੜ੍ਹ, ਏਆਈ ਟੂਲਿੰਗ ਕਲੱਸਟਰ, ਐਮਸੀਪੀ-ਲੇਅਰ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਚੋਰੀ, ਅਤੇ ਅੰਦਰੂਨੀ ਮੋਨੋਰੇਪੋ ਨੇਮਸਪੇਸਾਂ ਦੇ ਵਿਰੁੱਧ ਨਿਰਭਰਤਾ ਉਲਝਣ ਹਮਲੇ। ਮੁਹਿੰਮਾਂ ਸਵੈਚਾਲਿਤ ਅਤੇ ਨਿਰੰਤਰ ਹਨ। ਇੱਕ ਹਫਤਾਵਾਰੀ ਸਕੈਨ ਇੱਕ ਬਚਾਅ ਨਹੀਂ ਹੈ।
ਜ਼ਾਇਜੇਨੀ ਮਾਲਵੇਅਰ ਦੀ ਸ਼ੁਰੂਆਤੀ ਚੇਤਾਵਨੀ npm, PyPI, ਅਤੇ ਹੋਰ ਰਜਿਸਟਰੀਆਂ ਦੀ ਅਸਲ ਸਮੇਂ ਵਿੱਚ ਨਿਗਰਾਨੀ ਕਰਦਾ ਹੈ, ਪ੍ਰਕਾਸ਼ਨ ਦੇ ਸਮੇਂ ਖਤਰਿਆਂ ਨੂੰ ਫਲੈਗ ਕਰਦਾ ਹੈ, ਉਹਨਾਂ ਦੇ ਬਿਲਡ ਤੱਕ ਪਹੁੰਚਣ ਤੋਂ ਪਹਿਲਾਂ, ਇੱਕ AI ਏਜੰਟ ਉਹਨਾਂ ਨੂੰ ਖੁਦਮੁਖਤਿਆਰੀ ਨਾਲ ਸਥਾਪਤ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, ਅਤੇ ਇੱਕ SkillLeak-ਸ਼ੈਲੀ ਦੇ ਪੇਲੋਡ ਨੂੰ ਚਲਾਉਣ ਦਾ ਮੌਕਾ ਮਿਲਣ ਤੋਂ ਪਹਿਲਾਂ। ਜਦੋਂ anthropic-toolkit ਇੱਕ ਦਿਨ ਵਿੱਚ 20 ਸੰਸਕਰਣ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਦਾ ਹੈ ਜਾਂ cursed-modules ਦੋ ਦਿਨਾਂ ਵਿੱਚ npm ਨੂੰ ਵਰਜਨ 999.x ਨਾਲ ਭਰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਇਸ ਤੱਥ ਤੋਂ ਬਾਅਦ ਚੱਲਣ ਵਾਲੀ ਖੋਜ ਪਹਿਲਾਂ ਹੀ ਬਹੁਤ ਦੇਰ ਨਾਲ ਹੋ ਚੁੱਕੀ ਹੈ।
ਜ਼ਾਇਗੇਨੀ ਦਾ Open Source Security ਪਲੇਟਫਾਰਮ DevSecOps ਟੀਮਾਂ ਨੂੰ ਤਾਲਮੇਲ ਵਾਲੀ ਸਪਲਾਈ ਚੇਨ ਦਬਾਅ ਤੋਂ ਅੱਗੇ ਰਹਿਣ ਲਈ ਲੋੜੀਂਦੀ ਅਸਲ-ਸਮੇਂ ਦੀ ਖੋਜ ਅਤੇ ਤਰਜੀਹ ਦਿੰਦਾ ਹੈ, ਇਸ ਲਈ ਤੁਹਾਡੀ pipelineਆਪਣੀਆਂ ਟੀਮਾਂ ਨੂੰ ਹੌਲੀ ਕੀਤੇ ਬਿਨਾਂ ਸਾਫ਼ ਰਹੋ।




