Kila wiki, mifumo yetu ya kugundua programu hasidi huchanganua maelfu ya vifurushi vipya na vilivyosasishwa katika sajili za umma kama vile npm na PyPI. Wiki hii haikuwa tofauti.
Tulithibitisha zaidi ya vifurushi 90 hasidi kati ya Juni 26 na Julai 3, 2026, kote npm na PyPI, huku kampeni kadhaa zikiendelea kutoka wiki zilizopita na mpya zikiibuka.
The nolimit-agent kampeni iliendelea kuchapisha matoleo mapya (1.0.306, 1.0.315, 1.0.316), ikipanua mfumo wa ulaghai wa msimbo wa kifaa wa Microsoft 365 tuliouandika kwa undani katika yetu Ripoti ya DeviceDoor. The anthropic-toolkit Kundi lilikuwa kampeni mpya iliyotawala, huku matoleo 20 yakithibitishwa mnamo Juni 30 pekee — yakilenga moja kwa moja vifurushi vinavyohusiana na zana za wasanidi programu wa Anthropic. cursed-modules familia ilichapisha zaidi ya matoleo 15 kati ya Julai 1 na Julai 2 katika zote mbili standard na nambari za matoleo zilizoongezwa (999.x), kufuatia kitabu cha michezo cha mkanganyiko wa utegemezi. date-fns-lite kundi (matoleo 5, Julai 2) liliendelea na muundo wa kuiga vifurushi halali vya matumizi vinavyotumika sana.
Muundo wa kulenga zana za akili bandia (AI) ulioanzishwa wiki iliyopita na ollama-helpers na openai-agents-helpers imeongezwa katika kipindi hiki na ai-explain, ai-sdk-helpers, na @langgraphjs/toolkit, yote yalithibitishwa kati ya Juni 28 na Juni 30. @szc-ft/mcp-szcd-client kifurushi (matoleo 0.38.0 na 0.39.0, yamethibitishwa Julai 2) kilianzisha muundo mpya tunaoufuatilia kama Uvujaji wa Ujuzi: kiondoa usimbaji fiche cha sifa kilichofichwa ndani ya ujuzi wa MCP badala ya ndoano ya usakinishaji, kisichoonekana kwa vitambuzi vinavyosimama baada ya kusakinisha. Tulichapisha a Uchambuzi kamili wa SkillLeak hapa.
Picha hii ya kila wiki ni sehemu ya mfululizo wetu unaoendelea Muhtasari wa Msimbo Hasidi, ambapo tunathibitisha vitisho vipya na kutoa taarifa za kijasusi zinazoweza kutekelezwa ili kusaidia timu za DevSecOps kulinda pipelinekabla uharibifu haujatokea. Hebu tuchambue tulichokipata wiki hii na kwa nini ni muhimu.
Vifurushi 90+. Wiki Moja. Pipeline Ni Mlengwa.
Muhtasari wa wiki hii unaonyesha mabadiliko katika mwelekeo wa mshambuliaji, si tu kiasi, bali pia kabla yacision. Mafuriko endelevu ya toleo, makundi ya zana za AI, wizi wa sifa za safu ya MCP, na mashambulizi ya mkanganyiko wa utegemezi dhidi ya nafasi za majina za ndani za monorepo. Kampeni hizo ni otomatiki na zinazoendelea. Uchanganuzi wa kila wiki si utetezi.
Onyo la Mapema la Programu Hasidi ya Xygeni hufuatilia npm, PyPI, na sajili zingine kwa wakati halisi, ikiashiria vitisho wakati wa kuchapishwa, kabla ya kufikia ujenzi, kabla ya wakala wa AI kusakinisha kwa uhuru, na kabla ya mzigo wa mtindo wa SkillLeak kupata nafasi ya kutekeleza. anthropic-toolkit huchapisha matoleo 20 kwa siku moja au cursed-modules floods npm yenye toleo la 999.x kwa siku mbili, ugunduzi unaoendelea baada ya ukweli tayari umechelewa.
Xygeni's Open Source Security Jukwaa hili huzipa timu za DevSecOps utambuzi na kipaumbele cha wakati halisi kinachohitajika ili kuendelea mbele ya shinikizo la mnyororo wa usambazaji lililoratibiwa, kwa hivyo pipelineEndelea kuwa safi bila kupunguza kasi ya timu zako.




