هره اونۍ، زموږ د مالویر کشف سیسټمونه په عامه راجسترونو لکه npm او PyPI کې په زرګونو نوي او تازه شوي کڅوړې سکین کوي. دا اونۍ هیڅ استثنا نه وه.
موږ د جون له ۲۶ څخه تر جولای ۳، ۲۰۲۶ پورې په npm او PyPI کې له ۹۰ څخه ډیر ناوړه پیکجونه تایید کړل، چې له تیرو اونیو راهیسې یې څو کمپاینونه دوام لري او نوي یې راڅرګند شول.
د nolimit-agent کمپاین د نویو نسخو خپرولو ته دوام ورکړ (1.0.306، 1.0.315، 1.0.316)، د مایکروسافټ 365 وسیلې کوډ فشینګ چوکاټ پراخول چې موږ یې په تفصیل سره مستند کړی دی زموږ د وسیلې دروازې راپور. د anthropic-toolkit کلستر تر ټولو غالب نوی کمپاین و، چې یوازې د جون په ۳۰مه یې ۲۰ نسخې تایید شوې - چې په مستقیم ډول د انټروپیک د پراختیا کونکي وسیلې سره تړلي پیکجونه په نښه کوي. cursed-modules کورنۍ د جولای د لومړۍ او دوهمې جولای ترمنځ په دواړو کې له ۱۵ څخه زیاتې نسخې خپرې کړې standard او د نسخې شمیرې (999.x)، د انحصاري ګډوډۍ د لوبې کتاب تعقیبوي. د date-fns-lite کلستر (۵ نسخې، د جولای ۲) د مشروع، پراخه کارول شوي ګټورو کڅوړو تقلید کولو نمونې ته دوام ورکړ.
د AI وسیلو د هدف ټاکلو نمونه تیره اونۍ رامینځته شوه ollama-helpers او openai-agents-helpers دې مودې ته غځول شوی سره ai-explain, ai-sdk-helpers، او @langgraphjs/toolkit، ټول د جون د ۲۸ او جون د ۳۰ ترمنځ تایید شوي. د @szc-ft/mcp-szcd-client پیکج (نسخې 0.38.0 او 0.39.0، د جولای په 2 تایید شوې) یوه نوې نمونه معرفي کړه چې موږ یې تعقیبوو لکه څنګه چې سکیل لیک: د نصبولو هک پرځای د MCP مهارت دننه پټ شوی د اعتبار ډیکریپټر، د سکینرونو لپاره نه لیدل کیدونکی چې د نصب وروسته ودریږي. موږ یو خپور کړ د سکیل لیک بشپړ تحلیل دلته.
دا اونۍ انځور زموږ د روانو د ناوړه کوډ ډایجسټ، چیرې چې موږ نوي ګواښونه تاییدوو او د عمل وړ استخبارات چمتو کوو ترڅو د DevSecOps ټیمونو سره د دوی د ساتنې کې مرسته وکړو pipelineد زیان له رامنځته کیدو دمخه. راځئ چې هغه څه چې موږ پدې اونۍ کې وموندل او ولې دا مهم دي، تحلیل کړو.
۹۰+ پیکجونه. یوه اونۍ. د Pipeline هدف دی.
د دې اونۍ لنډیز د بریدګرو په تمرکز کې بدلون منعکس کوي، نه یوازې حجم، بلکې مخکې له مخکېcisآیون. د نسخې دوامداره سیلاب، د AI وسیلو کلسترونه، د MCP-پرت اعتبار غلا، او د داخلي مونوریپو نوم ځایونو په وړاندې د انحصار ګډوډي بریدونه. کمپاینونه اتومات او دوامداره دي. د اونۍ سکین دفاع نه ده.
د زایګیني د مالویر دمخه خبرداری په ریښتیني وخت کې د npm، PyPI، او نورو راجسترونو څارنه کوي، د خپرولو په وخت کې ګواښونه په نښه کوي، مخکې له دې چې دوی جوړ شي، مخکې له دې چې د AI اجنټ دوی په خپلواکه توګه نصب کړي، او مخکې له دې چې د SkillLeak سټایل پیلوډ د اجرا کولو چانس ولري. کله چې anthropic-toolkit په یوه ورځ کې ۲۰ نسخې خپروي یا cursed-modules د دوو ورځو لپاره npm د 999.x نسخې سره ډکوي، هغه کشف چې د حقیقت وروسته ترسره کیږي لا دمخه ډیر ناوخته دی.
د زیګیني Open Source Security پلیټ فارم د DevSecOps ټیمونو ته د ریښتیني وخت کشف او لومړیتوب ورکوي چې د همغږي شوي اکمالاتي سلسلې فشار څخه مخکې پاتې کیدو لپاره اړین دي، نو ستاسو pipelineد خپلو ټیمونو د سستولو پرته پاک پاتې شئ.




