Toddobaad kastaNidaamyadayada ogaanshaha malware-ka waxay baaraan kumanaan xirmooyin cusub iyo kuwa la cusbooneysiiyay oo ku baahsan diiwaannada dadweynaha sida npm iyo PyPI. Toddobaadkan ma ahayn mid ka reeban.
Waxaan xaqiijinay in ka badan 90 xirmooyin xaasidnimo ah intii u dhaxaysay Juun 26 iyo Luulyo 3, 2026, oo ka kala yimid npm iyo PyPI, iyadoo ololeyaal dhowr ah ay ka socdeen toddobaadyadii hore iyo kuwo cusub oo soo ifbaxaya.
The nolimit-agent Ololaha ayaa sii waday daabacaadda noocyo cusub (1.0.306, 1.0.315, 1.0.316), isagoo ballaarinaya qaab-dhismeedka phishing-ka qalabka Microsoft 365 ee aan si faahfaahsan ugu diiwaangelinay boggayaga. Warbixinta DeviceDoor. The anthropic-toolkit Kooxda ayaa ahayd ololaha cusub ee ugu weyn, iyadoo 20 nooc la xaqiijiyay Juun 30 oo keliya - si toos ah loogu bartilmaameedsanayo xirmooyinka la xiriira qalabka horumariyaha Anthropic. cursed-modules qoyska ayaa daabacay in ka badan 15 nooc intii u dhaxaysay Luulyo 1 iyo Luulyo 2 labadaba standard iyo lambarrada nooca la buunbuuniyay (999.x), iyadoo la raacayo buugga jahwareerka ku tiirsanaanta. date-fns-lite koox (5 nooc, Luulyo 2) waxay sii wadeen qaabka ay u sawirayaan xirmooyinka adeegga ee sharciga ah, oo si ballaaran loo isticmaalo.
Qaabka bartilmaameedka qalabka AI ee la sameeyay usbuucii hore iyadoo la sameeyay ollama-helpers iyo openai-agents-helpers ayaa la kordhiyay muddadan iyadoo ai-explain, ai-sdk-helpers, Iyo @langgraphjs/toolkit, dhammaantood waa la xaqiijiyay inta u dhaxaysa Juun 28 iyo Juun 30. @szc-ft/mcp-szcd-client xirmo (noocyada 0.38.0 iyo 0.39.0, la xaqiijiyay Luulyo 2) waxay soo bandhigeen qaab cusub oo aan ku raad joogno sida SkillLeak: qalab furfuran oo aqoonsi ah oo ku qarsoon xirfad MCP ah halkii laga isticmaali lahaa qalab rakibid, oo aan la arki karin iskaan-qaadayaasha oo joogsada rakibidda kadib. Waxaan daabacnay Falanqaynta SkillLeak oo dhammaystiran halkan.
Sawirkan toddobaadlaha ah waa qayb ka mid ah muuqaallada aan soo bandhigno Qoraal-xariireed Koodhka Xunhalkaas oo aan ku xaqiijinno khataraha cusub oo aan ku bixinno sirdoon wax ku ool ah si aan uga caawinno kooxaha DevSecOps inay ilaaliyaan pipelineka hor inta aysan waxyeello dhicin. Aan kala saarno waxa aan helnay toddobaadkan iyo sababta ay muhiim u tahay.
90+ Xirmooyin. Hal Todobaad. Pipeline Waa bartilmaameedka.
Qodobbada toddobaadkan waxay muujinayaan isbeddel ku yimid diiradda weerarka, ma aha oo kaliya mugga, laakiin sidoo kale kahorcision. Daadad joogto ah oo nooca ah, kooxaha qalabka AI, xatooyada aqoonsiga lakabka MCP, iyo weerarrada jahawareerka ku tiirsanaanta ee ka dhanka ah meelaha magaca monorepo ee gudaha. Ololaha waa kuwo otomaatig ah oo joogto ah. Baaritaanka toddobaadlaha ah maaha difaac.
Digniinta Hore ee Xygeni ee Malware-ka Wuxuu la socdaa npm, PyPI, iyo diiwaannada kale waqtiga dhabta ah, isagoo calaamadeynaya hanjabaadaha xilliga la daabacayo, ka hor inta aysan gaarin dhisme, ka hor inta uusan wakiil AI si madax-bannaan u rakibin, iyo ka hor inta uusan raritaan nooca SkillLeak ah fursad u helin inuu fuliyo. anthropic-toolkit daabacaa 20 nooc hal maalin gudaheed ama cursed-modules Daadadku waxay ku daadanayaan npm nooca 999.x laba maalmood gudahood, ogaanshaha socda ka dib xaqiiqda ayaa durba aad u daahday.
Xygeni's Open Source Security Madalku wuxuu siiyaa kooxaha DevSecOps ogaanshaha waqtiga dhabta ah iyo mudnaanta loo baahan yahay si looga horreeyo cadaadiska silsiladda sahayda ee isku-dubaridka ah, sidaa darteed pipelineNadiif ahow adigoon kooxahaaga hoos u dhigin.




