هر هفتي، اسان جا مالويئر ڳولڻ وارا نظام npm ۽ PyPI جهڙن عوامي رجسٽرين ۾ هزارين نوان ۽ اپڊيٽ ٿيل پيڪيجز اسڪين ڪن ٿا. هي هفتو ڪو به استثنا نه هو.
اسان 26 جون ۽ 3 جولاءِ 2026 جي وچ ۾ npm ۽ PyPI تي 90 کان وڌيڪ خراب پيڪيجز جي تصديق ڪئي، جن ۾ گذريل هفتن کان ڪيتريون ئي مهمون جاري آهن ۽ نوان سامهون اچي رهيا آهن.
هن nolimit-agent مهم نوان ورجن شايع ڪرڻ جاري رکيو (1.0.306، 1.0.315، 1.0.316)، Microsoft 365 ڊيوائس-ڪوڊ فشنگ فريم ورڪ کي وڌايو جيڪو اسان اسان جي ۾ تفصيل سان دستاويز ڪيو آهي ڊيوائس ڊور رپورٽ. هن anthropic-toolkit ڪلسٽر غالب نئين مهم هئي، جنهن جا 20 نسخا صرف 30 جون تي تصديق ڪيا ويا - اينٿروپڪ جي ڊولپر ٽولنگ سان لاڳاپيل پيڪيجز کي سڌو سنئون نشانو بڻايو ويو. cursed-modules فيملي 1 جولاءِ ۽ 2 جولاءِ جي وچ ۾ ٻنهي ۾ 15 کان وڌيڪ نسخا شايع ڪيا standard ۽ وڌايل ورجن نمبر (999.x)، انحصار مونجهاري واري پلي بڪ جي پٺيان. date-fns-lite ڪلسٽر (5 ورجن، 2 جولاءِ) جائز، وڏي پيماني تي استعمال ٿيندڙ يوٽيلٽي پيڪيجز جي نقل ڪرڻ جو نمونو جاري رکيو.
گذريل هفتي قائم ڪيل AI ٽولنگ ٽارگيٽنگ پيٽرن سان ollama-helpers ۽ openai-agents-helpers هن عرصي تائين وڌايو ويو آهي ai-explain, ai-sdk-helpers، ۽ @langgraphjs/toolkit، سڀ 28 جون ۽ 30 جون جي وچ ۾ تصديق ٿيل. @szc-ft/mcp-szcd-client پيڪيج (ورجن 0.38.0 ۽ 0.39.0، 2 جولاءِ تي تصديق ٿيل) هڪ نئون نمونو متعارف ڪرايو جنهن کي اسان ٽريڪ ڪري رهيا آهيون جيئن اسڪل لِيڪ: هڪ سندي ڊيڪرپٽر جيڪو انسٽال ٿلهو جي بدران MCP مهارت اندر لڪيل آهي، اسڪينرز لاءِ پوشيده آهي جيڪي پوسٽ انسٽال تي بند ٿين ٿا. اسان هڪ شايع ڪيو مڪمل SkillLeak تجزيو هتي.
هي هفتيوار تصوير اسان جي جاري جو حصو آهي خراب ڪوڊ ڊائجسٽ، جتي اسان نون خطرن جي تصديق ڪريون ٿا ۽ DevSecOps ٽيمن کي انهن جي حفاظت ۾ مدد لاءِ قابل عمل انٽيليجنس فراهم ڪريون ٿا pipelineنقصان ٿيڻ کان اڳ. اچو ته هن هفتي اسان ڇا ڳولي لڌو ۽ اهو ڇو اهم آهي ان کي ٽوڙي ڏسون.
90+ پيڪيجز. هڪ هفتو. Pipeline نشانو آهي.
هن هفتي جو ڊائجسٽ حملي آور جي ڌيان ۾ تبديلي کي ظاهر ڪري ٿو، نه رڳو حجم، پر اڳ ۾cisآئن. مسلسل ورجن فلڊنگ، اي آءِ ٽولنگ ڪلسٽر، ايم سي پي-ليئر سند جي چوري، ۽ اندروني مونوريپو نيم اسپيسز جي خلاف انحصار مونجهارو حملو. مهمون خودڪار ۽ مسلسل آهن. هفتيوار اسڪين دفاع نه آهي.
زائيگيني جي شروعاتي مالويئر وارننگ npm، PyPI، ۽ ٻين رجسٽرين کي حقيقي وقت ۾ مانيٽر ڪري ٿو، اشاعت جي وقت خطرن کي نشانو بڻائي ٿو، ان کان اڳ جو اهي ڪنهن بلڊ تائين پهچن، ان کان اڳ جو ڪو AI ايجنٽ انهن کي خودمختيار طور تي انسٽال ڪري، ۽ ان کان اڳ جو ڪو SkillLeak-style پيل لوڊ کي عمل ۾ آڻڻ جو موقعو ملي. جڏهن anthropic-toolkit هڪ ڏينهن ۾ 20 نسخا شايع ڪري ٿو يا cursed-modules ٻن ڏينهن تائين ورجن 999.x سان npm کي سيلاب ڪري ٿو، حقيقت کان پوءِ هلندڙ ڳولا اڳ ۾ ئي تمام دير سان ٿي چڪي آهي.
زائيگيني جو Open Source Security پليٽ فارم DevSecOps ٽيمن کي حقيقي وقت جي سڃاڻپ ۽ ترجيح ڏئي ٿو جيڪو هم آهنگ سپلائي چين پريشر کان اڳتي رهڻ لاءِ گهربل آهي، تنهن ڪري توهان جو pipelineپنهنجي ٽيمن کي سست ڪرڻ کان سواءِ صاف رهو.




