xygeni malicious code digest 78

زائيگيني خراب ڪوڊ ڊائجسٽ 78

هر هفتي، اسان جا مالويئر ڳولڻ وارا نظام npm ۽ PyPI جهڙن عوامي رجسٽرين ۾ هزارين نوان ۽ اپڊيٽ ٿيل پيڪيجز اسڪين ڪن ٿا. هي هفتو ڪو به استثنا نه هو.

اسان 26 جون ۽ 3 جولاءِ 2026 جي وچ ۾ npm ۽ PyPI تي 90 کان وڌيڪ خراب پيڪيجز جي تصديق ڪئي، جن ۾ گذريل هفتن کان ڪيتريون ئي مهمون جاري آهن ۽ نوان سامهون اچي رهيا آهن.

هن nolimit-agent مهم نوان ورجن شايع ڪرڻ جاري رکيو (1.0.306، 1.0.315، 1.0.316)، Microsoft 365 ڊيوائس-ڪوڊ فشنگ فريم ورڪ کي وڌايو جيڪو اسان اسان جي ۾ تفصيل سان دستاويز ڪيو آهي ڊيوائس ڊور رپورٽ. هن anthropic-toolkit ڪلسٽر غالب نئين مهم هئي، جنهن جا 20 نسخا صرف 30 جون تي تصديق ڪيا ويا - اينٿروپڪ جي ڊولپر ٽولنگ سان لاڳاپيل پيڪيجز کي سڌو سنئون نشانو بڻايو ويو. cursed-modules فيملي 1 جولاءِ ۽ 2 جولاءِ جي وچ ۾ ٻنهي ۾ 15 کان وڌيڪ نسخا شايع ڪيا standard ۽ وڌايل ورجن نمبر (999.x)، انحصار مونجهاري واري پلي بڪ جي پٺيان. date-fns-lite ڪلسٽر (5 ورجن، 2 جولاءِ) جائز، وڏي پيماني تي استعمال ٿيندڙ يوٽيلٽي پيڪيجز جي نقل ڪرڻ جو نمونو جاري رکيو.

گذريل هفتي قائم ڪيل AI ٽولنگ ٽارگيٽنگ پيٽرن سان ollama-helpers ۽ openai-agents-helpers هن عرصي تائين وڌايو ويو آهي ai-explain, ai-sdk-helpers، ۽ @langgraphjs/toolkit، سڀ 28 جون ۽ 30 جون جي وچ ۾ تصديق ٿيل. @szc-ft/mcp-szcd-client پيڪيج (ورجن 0.38.0 ۽ 0.39.0، 2 جولاءِ تي تصديق ٿيل) هڪ نئون نمونو متعارف ڪرايو جنهن کي اسان ٽريڪ ڪري رهيا آهيون جيئن اسڪل لِيڪ: هڪ سندي ڊيڪرپٽر جيڪو انسٽال ٿلهو جي بدران MCP مهارت اندر لڪيل آهي، اسڪينرز لاءِ پوشيده آهي جيڪي پوسٽ انسٽال تي بند ٿين ٿا. اسان هڪ شايع ڪيو مڪمل SkillLeak تجزيو هتي.

هي هفتيوار تصوير اسان جي جاري جو حصو آهي خراب ڪوڊ ڊائجسٽ، جتي اسان نون خطرن جي تصديق ڪريون ٿا ۽ DevSecOps ٽيمن کي انهن جي حفاظت ۾ مدد لاءِ قابل عمل انٽيليجنس فراهم ڪريون ٿا pipelineنقصان ٿيڻ کان اڳ. اچو ته هن هفتي اسان ڇا ڳولي لڌو ۽ اهو ڇو اهم آهي ان کي ٽوڙي ڏسون.

ماحولياتي نظام پئڪيج تصديق ٿيل
نيٺ@miraiva_test/skill-order-export: 0.3.0جلباڻي 26، 2026
نيٺانڪسٽ-مني-ايپ-ايس ڊي ڪي: 1.0.0جلباڻي 26، 2026
نيٺسسٽم جي تصديق: 1.0.9جلباڻي 27، 2026
نيٺ@k18n/creatormarketplace-ايڊمن-ٻولي: 99.0.0جلباڻي 28، 2026
نيٺاينٿروپڪ-اندروني-اوزار: 1.0.0جلباڻي 28، 2026
نيٺاينٿروپڪ-اندروني-اوزار: 1.0.1جلباڻي 28، 2026
نيٺاوپنائي-ايجنٽ-مددگار: 1.3.2جلباڻي 28، 2026
نيٺ@langgraphjs/ٽول ڪِٽ: 1.2.12جلباڻي 28، 2026
نيٺاي آءِ-ايس ڊي ڪي-هيلپرز: 1.4.4جلباڻي 28، 2026
نيٺاولما-مددگار: 1.2.2جلباڻي 28، 2026
نيٺاي آءِ-وضاحت: 0.3.3جلباڻي 28، 2026
نيٺاي آءِ-وضاحت: 0.3.4جلباڻي 28، 2026
پائيپيٽي ڊيٽا-گريبر: 1.0.0جلباڻي 28، 2026
نيٺ@vpms/ڊيزائن-سسٽم: 1.1.2جلباڻي 29، 2026
نيٺ@vpms/ڊيزائن-سسٽم: 1.0.1جلباڻي 29، 2026
نيٺ@vpms/ڊيزائن-سسٽم: 0.1.3جلباڻي 29، 2026
نيٺغير محفوظ-بدنيتي وارو-پيڪيج: 1.0.0جلباڻي 29، 2026
نيٺغير محفوظ-بدنيتي وارو-پيڪيج: 1.0.2جلباڻي 29، 2026
نيٺغير محفوظ-بدنيتي وارو-پيڪيج: 1.0.4جلباڻي 29، 2026
نيٺغير محفوظ-بدنيتي وارو-پيڪيج: 1.0.6جلباڻي 29، 2026
نيٺغير محفوظ-بدنيتي وارو-پيڪيج: 1.0.8جلباڻي 29، 2026
نيٺغير محفوظ-بدنيتي وارو-پيڪيج: 1.0.9جلباڻي 29، 2026
نيٺغير محفوظ-بدنيتي وارو-پيڪيج: 2.0.0جلباڻي 29، 2026
نيٺغير محفوظ-بدنيتي وارو-پيڪيج: 2.0.1جلباڻي 29، 2026
نيٺ@epsteinlovekids483/crossmint-wallets-sdk-pentest: 1.0.5-pentestجلباڻي 29، 2026
نيٺ@epsteinlovekids483/crossmint-wallets-sdk-pentest: 1.0.9-pentestجلباڻي 29، 2026
نيٺ@epsteinlovekids483/crossmint-wallets-sdk-pentest: 1.0.7-pentestجلباڻي 29، 2026
نيٺ@epsteinlovekids483/crossmint-wallets-sdk-pentest: 1.0.11-pentestجلباڻي 29، 2026
نيٺ@epsteinlovekids483/crossmint-wallets-sdk-pentest: 1.0.11جلباڻي 29، 2026
نيٺٽي ايس-اينڪل: 1.1.3جلباڻي 29، 2026
نيٺوي ڪي زي ايم اين: 1.0.6جلباڻي 29، 2026
نيٺلائيو ڪِٽ-ايجنٽ: 0.3.4جلباڻي 30، 2026
نيٺنو لِمِٽ-ايجنٽ: 1.0.306جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.3.0جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.4.0جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.3.1جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 1.0.0جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 1.1.1جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 1.2.1جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.9.0جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.5.0جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 1.1.0جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.7.0جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.5.1جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 1.2.0جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.8.0جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 1.0.1جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 1.3.0جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.6.0جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.2.0جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.1.1جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.2.1جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.4.1جلباڻي 30، 2026
نيٺاينٿروپڪ-ٽول ڪِٽ: 0.1.0جلباڻي 30، 2026
نيٺرِپ شڪتي: 80.0.0جلباڻي 30، 2026
نيٺ@سڊوگنيم/ماحول-ڊيمو: 0.3.3مصطفى 1، 2026
نيٺ@سڊوگنيم/ماحول-ڊيمو: 99.99.99مصطفى 1، 2026
نيٺرِپ شڪٽي1:81.0.0مصطفى 1، 2026
نيٺويو-ڊيمي-فڪس: 10.0.4مصطفى 1، 2026
نيٺايسلنٽ-اينگولر-ري ايڪٽ: 110.0.1مصطفى 1، 2026
نيٺويو-ڊيمي-فڪس: 10.0.5مصطفى 1، 2026
نيٺايڪٽو-ڪورسيئر-جهنڊو-7kq3mz:1.0.2مصطفى 1، 2026
نيٺتارو: 0.5.1مصطفى 1، 2026
نيٺتارو: 0.5.0مصطفى 1، 2026
نيٺتارو: 0.4.0مصطفى 1، 2026
نيٺتارو: 0.3.12مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 2.0.0مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.0.0مصطفى 1، 2026
نيٺماڊيول-انڊيڪس-ڪيش: 1.0.2مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.0.1مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.0.2مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.0.3مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.0.4مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.0.5مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.0.6مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.0.7مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.0.8مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.0.9مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.1.0مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.1.1مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 999.1.2مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 1.0.1مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 1.0.4مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 1.0.5مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 1.0.6مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 1.0.7مصطفى 1، 2026
نيٺڪرسڊ ماڊلز: 1.0.8مصطفى 1، 2026
نيٺپي پي-ري ايڪٽ-وي 5: 30.0.1مصطفى 1، 2026
نيٺپي پي-ري ايڪٽ-وي 5: 30.0.2مصطفى 1، 2026
نيٺ@blue-repository/قسم: 1.2.4-rc.0مصطفى 2، 2026
نيٺ@ليجو-جم/جم-ڪلائي: 1.0.7مصطفى 2، 2026
نيٺصارف ويب: 2200.4.2مصطفى 2، 2026
نيٺ@szc-ft/mcp-szcd-ڪلائنٽ: 0.38.0مصطفى 2، 2026
نيٺلاگر-ڊيمن-ريجيڪس: 1.0.124مصطفى 2، 2026
نيٺ@easypayment/medusa-paypal: 0.7.6مصطفى 2، 2026
نيٺڊي ايل-پي پي-ليٽم: 80.4.2مصطفى 2، 2026
نيٺ@szc-ft/mcp-szcd-ڪلائنٽ: 0.39.0مصطفى 2، 2026
نيٺتاريخ-ايف اين ايس-لائيٽ: 1.0.3مصطفى 2، 2026
نيٺتاريخ-ايف اين ايس-لائيٽ: 1.0.4مصطفى 2، 2026
نيٺتاريخ-ايف اين ايس-لائيٽ: 1.0.5مصطفى 2، 2026
نيٺتاريخ-ايف اين ايس-لائيٽ: 1.0.6مصطفى 2، 2026
نيٺتاريخ-ايف اين ايس-لائيٽ: 1.0.9مصطفى 2، 2026
نيٺنو لِمِٽ-ايجنٽ: 1.0.315مصطفى 2، 2026
نيٺنو لِمِٽ-ايجنٽ: 1.0.316مصطفى 2، 2026
نيٺڪرسڊ-ايڪٽو-ڊي3اب00:1.0.0مصطفى 3، 2026
نيٺ@checkrhq/ايڊجوڊيڪيشن-api-ڪلائنٽ: 0.0.2مصطفى 3، 2026

90+ پيڪيجز. هڪ هفتو. Pipeline نشانو آهي.

هن هفتي جو ڊائجسٽ حملي آور جي ڌيان ۾ تبديلي کي ظاهر ڪري ٿو، نه رڳو حجم، پر اڳ ۾cisآئن. مسلسل ورجن فلڊنگ، اي آءِ ٽولنگ ڪلسٽر، ايم سي پي-ليئر سند جي چوري، ۽ اندروني مونوريپو نيم اسپيسز جي خلاف انحصار مونجهارو حملو. مهمون خودڪار ۽ مسلسل آهن. هفتيوار اسڪين دفاع نه آهي.

زائيگيني جي شروعاتي مالويئر وارننگ npm، PyPI، ۽ ٻين رجسٽرين کي حقيقي وقت ۾ مانيٽر ڪري ٿو، اشاعت جي وقت خطرن کي نشانو بڻائي ٿو، ان کان اڳ جو اهي ڪنهن بلڊ تائين پهچن، ان کان اڳ جو ڪو AI ايجنٽ انهن کي خودمختيار طور تي انسٽال ڪري، ۽ ان کان اڳ جو ڪو SkillLeak-style پيل لوڊ کي عمل ۾ آڻڻ جو موقعو ملي. جڏهن anthropic-toolkit هڪ ڏينهن ۾ 20 نسخا شايع ڪري ٿو يا cursed-modules ٻن ڏينهن تائين ورجن 999.x سان npm کي سيلاب ڪري ٿو، حقيقت کان پوءِ هلندڙ ڳولا اڳ ۾ ئي تمام دير سان ٿي چڪي آهي.

زائيگيني جو Open Source Security پليٽ فارم DevSecOps ٽيمن کي حقيقي وقت جي سڃاڻپ ۽ ترجيح ڏئي ٿو جيڪو هم آهنگ سپلائي چين پريشر کان اڳتي رهڻ لاءِ گهربل آهي، تنهن ڪري توهان جو pipelineپنهنجي ٽيمن کي سست ڪرڻ کان سواءِ صاف رهو.

اسڪا-ٽولز-سافٽ ويئر-ڪمپوزيشن-تجزيو-ٽولز
پنهنجي سافٽ ويئر خطرن کي ترجيح ڏيو، درست ڪريو، ۽ محفوظ ڪريو
پنهنجو مفت اڪائونٽ حاصل ڪريو.
ڪنهن به ڪريڊٽ ڪارڊ جي ضرورت نه آهي.

پنهنجي سافٽ ويئر ڊولپمينٽ ۽ پهچائڻ کي محفوظ بڻايو

زائيگيني پراڊڪٽ سوٽ سان