ஒவ்வொரு வாரமும்எங்கள் தீம்பொருள் கண்டறிதல் அமைப்புகள், npm மற்றும் PyPI போன்ற பொதுப் பதிவகங்களில் உள்ள ஆயிரக்கணக்கான புதிய மற்றும் மேம்படுத்தப்பட்ட தொகுப்புகளை ஸ்கேன் செய்கின்றன. இந்த வாரமும் இதற்கு விதிவிலக்கல்ல.
ஜூன் 26 முதல் ஜூலை 3, 2026 வரை, npm மற்றும் PyPI முழுவதும் 90-க்கும் மேற்பட்ட தீங்கிழைக்கும் தொகுப்புகளை நாங்கள் உறுதிப்படுத்தினோம்; இதில் பல செயல்பாடுகள் முந்தைய வாரங்களில் இருந்து தொடர்வதோடு, புதியவையும் உருவாகி வருகின்றன.
தி nolimit-agent எங்கள் கட்டுரையில் நாங்கள் விரிவாக ஆவணப்படுத்தியிருந்த Microsoft 365 சாதனக் குறியீடு ஃபிஷிங் கட்டமைப்பை விரிவுபடுத்தும் புதிய பதிப்புகளை (1.0.306, 1.0.315, 1.0.316) இந்த பிரச்சாரம் தொடர்ந்து வெளியிட்டது. டிவைஸ்டோர் அறிக்கை. அந்த anthropic-toolkit கிளஸ்டர் என்பது ஆதிக்கம் செலுத்திய புதிய பிரச்சாரமாக இருந்தது, ஜூன் 30 அன்று மட்டும் 20 பதிப்புகள் உறுதிப்படுத்தப்பட்டன — இது ஆந்த்ரோபிக்கின் டெவலப்பர் கருவிகளுடன் தொடர்புடைய தொகுப்புகளை நேரடியாக இலக்காகக் கொண்டது. cursed-modules ஜூலை 1 மற்றும் ஜூலை 2 க்கு இடையில் குடும்பம் 15 க்கும் மேற்பட்ட பதிப்புகளை வெளியிட்டது. standard மற்றும் சார்புநிலைக் குழப்பத்திற்கான வழிமுறைகளைப் பின்பற்றி, மிகைப்படுத்தப்பட்ட பதிப்பு எண்கள் (999.x) வழங்கப்பட்டன. date-fns-lite கிளஸ்டர் (5 பதிப்புகள், ஜூலை 2) முறையான, பரவலாகப் பயன்படுத்தப்படும் பயன்பாட்டுத் தொகுப்புகளைப் போல் ஆள்மாறாட்டம் செய்யும் போக்கைத் தொடர்ந்தது.
கடந்த வாரம் நிறுவப்பட்ட AI கருவி இலக்கு முறை ollama-helpers மற்றும் openai-agents-helpers இந்தக் காலகட்டம் வரை நீட்டிக்கப்பட்டது ai-explain, ai-sdk-helpers, மற்றும் @langgraphjs/toolkitஜூன் 28 மற்றும் ஜூன் 30-க்கு இடையில் அனைத்தும் உறுதிப்படுத்தப்பட்டன. @szc-ft/mcp-szcd-client (ஜூலை 2 அன்று உறுதிசெய்யப்பட்ட) பதிப்புகள் 0.38.0 மற்றும் 0.39.0 கொண்ட தொகுப்பு, நாங்கள் கண்காணித்து வரும் ஒரு புதிய வடிவத்தை அறிமுகப்படுத்தியுள்ளது. ஸ்கில்லீக்: நிறுவல் ஹூக்கிற்குப் பதிலாக ஒரு MCP ஸ்கில்லுக்குள் மறைக்கப்பட்ட ஒரு நற்சான்றிதழ் மறைகுறியாக்கி, போஸ்ட்இன்ஸ்டாலில் நிற்கும் ஸ்கேனர்களுக்குத் தெரியாதது. நாங்கள் வெளியிட்டோம் ஸ்கில்லீக் பற்றிய முழுமையான பகுப்பாய்வு இங்கே.
இந்த வாராந்திரப் பார்வை எங்களின் தொடர்ச்சியான செயல்பாட்டின் ஒரு பகுதியாகும். தீங்கிழைக்கும் குறியீடு டைஜஸ்ட்இங்கு நாங்கள் புதிய அச்சுறுத்தல்களைச் சரிபார்த்து, DevSecOps குழுக்கள் தங்களைப் பாதுகாத்துக் கொள்ள உதவும் வகையில் செயல்படுத்தக்கூடிய தகவல்களை வழங்குகிறோம். pipelineசேதம் ஏற்படுவதற்கு முன்பே. இந்த வாரம் நாம் கண்டறிந்தவற்றையும், அவை ஏன் முக்கியமானவை என்பதையும் விரிவாகப் பார்ப்போம்.
90க்கும் மேற்பட்ட தொகுப்புகள். ஒரு வாரம். Pipeline இலக்கு இதுதான்.
இந்த வாரத் தொகுப்பு, தாக்குதல் ஆட்டக்காரர்களின் கவனத்தில் ஏற்பட்டுள்ள மாற்றத்தைப் பிரதிபலிக்கிறது; அது வெறும் தாக்குதல்களின் எண்ணிக்கை மட்டுமல்ல, தாக்குதலுக்கு முந்தைய அணுகுமுறையும் ஆகும்.cisதொடர்ச்சியான பதிப்புப் பரவல், செயற்கை நுண்ணறிவு கருவித் தொகுப்புகள், MCP-அடுக்கு நற்சான்றிதழ் திருட்டு, மற்றும் உள்ளக மோனோரெப்போ பெயர்வெளிகளுக்கு எதிரான சார்புநிலைக் குழப்பத் தாக்குதல்கள். இந்தச் செயல்பாடுகள் தானியங்கு முறையிலானவை மற்றும் தொடர்ச்சியானவை. வாராந்திர ஆய்வு ஒரு பாதுகாப்பு அல்ல.
சைஜெனி ஆரம்பகால தீம்பொருள் எச்சரிக்கை npm, PyPI மற்றும் பிற ரெஜிஸ்ட்ரிகளை நிகழ் நேரத்தில் கண்காணித்து, அச்சுறுத்தல்கள் வெளியிடப்படும் கணத்திலேயே, அதாவது அவை ஒரு பில்டை அடைவதற்கு முன்பும், ஒரு AI ஏஜென்ட் அவற்றைத் தானாகவே நிறுவுவதற்கு முன்பும், மற்றும் ஒரு SkillLeak-பாணியிலான பேலோட் செயல்படுவதற்கு வாய்ப்பு கிடைப்பதற்கு முன்பும் அவற்றைக் கொடியிடுகிறது. anthropic-toolkit ஒரே நாளில் 20 பதிப்புகளை வெளியிடுகிறது அல்லது cursed-modules இரண்டு நாட்களாக npm-இல் 999.x பதிப்பை வெள்ளமெனப் பரப்புகிறது, இதனால், சம்பவம் நடந்த பிறகு செய்யப்படும் கண்டறிதல் ஏற்கெனவே மிகவும் தாமதமாகிவிட்டது.
சைஜெனி Open Source Security ஒருங்கிணைந்த விநியோகச் சங்கிலி அழுத்தத்தைச் சமாளித்து முன்னணியில் இருப்பதற்குத் தேவையான நிகழ்நேரக் கண்டறிதல் மற்றும் முன்னுரிமைப்படுத்தலை இந்தத் தளம் DevSecOps குழுக்களுக்கு வழங்குகிறது, எனவே உங்கள் pipelineஉங்கள் குழுக்களின் வேகத்தைக் குறைக்காமல், தூய்மையாக இருங்கள்.




