Ҳар ҳафта, системаҳои муайянкунии нармафзори зараровари мо ҳазорҳо бастаҳои нав ва навшударо дар феҳристҳои давлатӣ ба монанди npm ва PyPI скан мекунанд. Ин ҳафта низ истисно набуд.
Мо аз 26 июн то 3 июли соли 2026 беш аз 90 бастаи зарароварро дар npm ва PyPI тасдиқ кардем, ки якчанд маъракаҳо аз ҳафтаҳои қаблӣ идома доштанд ва маъракаҳои нав пайдо шуданд.
Дар nolimit-agent маърака нашри версияҳои нав (1.0.306, 1.0.315, 1.0.316)-ро идома дод ва чаҳорчӯбаи фишинги рамзи дастгоҳи Microsoft 365-ро, ки мо дар мақолаи худ муфассал сабт карда будем, васеъ кард. Ҳисоботи DeviceDoor. Дар anthropic-toolkit кластер маъракаи нави бартаридошта буд, ки танҳо 20 версияи он дар 30 июн тасдиқ карда шуд - ки мустақиман ба бастаҳои марбут ба абзорҳои таҳиягари Anthropic нигаронида шуда буданд. cursed-modules оила аз 1 то 2 июл дар ҳарду кишвар беш аз 15 версия нашр кард standard ва рақамҳои версияҳои муболиғашуда (999.x), ки пас аз дастури печидагии вобастагӣ ба амал омадаанд. date-fns-lite кластер (5 версия, 2 июл) намунаи тақлид кардани бастаҳои қонунии коммуналӣ ва васеъ истифодашавандаро идома дод.
Намунаи ҳадафгирии абзорҳои зеҳни сунъӣ ҳафтаи гузашта бо ... муқаррар карда шуд ollama-helpers ва openai-agents-helpers бо ин давра тамдид карда шуд ai-explain, ai-sdk-helpersва @langgraphjs/toolkit, ҳамаашон байни 28 ва 30 июн тасдиқ шудаанд. @szc-ft/mcp-szcd-client баста (версияҳои 0.38.0 ва 0.39.0, ки 2 июл тасдиқ шудаанд) намунаи наверо муаррифӣ кард, ки мо онро пайгирӣ мекунем Маҳорат Лейк: рамзкушои эътимоднома, ки дар дохили маҳорати MCP пинҳон аст, на қалмоқи насб, ки барои сканерҳое, ки дар postinstall қатъ мешаванд, ноаён аст. Мо нашр кардем Таҳлили пурраи SkillLeak дар ин ҷо.
Ин акси ҳафтаина қисми барномаи ҷории мост Рамзҳои зараровари дайҷест, ки дар он мо таҳдидҳои навро тасдиқ мекунем ва барои кӯмак ба дастаҳои DevSecOps дар ҳифзи онҳо маълумоти амалиро пешниҳод мекунем pipelineс пеш аз он ки зарар расад. Биёед он чизеро, ки ин ҳафта ёфтем ва чаро он муҳим аст, таҳлил кунем.
90+ Бастаҳо. Як ҳафта. Pipeline Ҳадаф аст.
Дайджести ин ҳафта тағйироти таваҷҷӯҳи ҳамлагаронро инъикос мекунад, на танҳо ҳаҷм, балки пеш аз он.cision. Обхезии доимии версияҳо, кластерҳои абзорҳои зеҳни сунъӣ, дуздии эътимодномаи сатҳи MCP ва ҳамлаҳои нофаҳмиҳои вобастагӣ бар зидди фазоҳои номҳои дохилии monorepo. Маъракаҳо автоматӣ ва пайваста мебошанд. Сканкунии ҳафтаина чораи дифоъ нест.
Огоҳиномаи барвақтии нармафзори зараровари Xygeni npm, PyPI ва дигар регистрҳоро дар вақти воқеӣ назорат мекунад ва таҳдидҳоро дар лаҳзаи нашр, пеш аз расидан ба як сохтор, пеш аз он ки агенти зеҳни сунъӣ онҳоро худкор насб кунад ва пеш аз он ки имкони иҷро кардани боркунии услуби SkillLeak пайдо шавад, қайд мекунад. Вақте ки anthropic-toolkit дар як рӯз 20 версияро нашр мекунад ё cursed-modules npm-ро бо версияи 999.x дар тӯли ду рӯз пур мекунад, ошкоркунӣ, ки пас аз ин далел кор мекунад, аллакай хеле дер аст.
Xygeni's Open Source Security платформа ба дастаҳои DevSecOps имкон медиҳад, ки дар вақти воқеӣ муайян ва афзалият диҳанд, то аз фишори занҷираи таъминоти ҳамоҳангшуда пеш гузаранд, аз ин рӯ pipelineбе суст кардани дастаҳои худ тоза бимонед.




