ہر ہفتے، ہمارے میلویئر کا پتہ لگانے کے نظام npm اور PyPI جیسی عوامی رجسٹریوں میں ہزاروں نئے اور اپ ڈیٹ شدہ پیکجوں کو اسکین کرتے ہیں۔ یہ ہفتہ کوئی استثنا نہیں تھا۔
ہم نے 26 جون اور 3 جولائی 2026 کے درمیان npm اور PyPI کے درمیان 90 سے زیادہ نقصان دہ پیکجوں کی تصدیق کی، جس میں کئی مہمیں پچھلے ہفتوں سے جاری ہیں اور نئے ابھر رہے ہیں۔
۔ nolimit-agent مہم نے نئے ورژن (1.0.306، 1.0.315، 1.0.316) کی اشاعت جاری رکھی، مائیکروسافٹ 365 ڈیوائس کوڈ فشنگ فریم ورک میں توسیع کرتے ہوئے ہم نے تفصیل سے اپنے ڈیوائس ڈور رپورٹ. anthropic-toolkit کلسٹر غالب نئی مہم تھی، جس کے 20 ورژنوں کی تصدیق صرف 30 جون کو ہوئی تھی - براہ راست انتھروپک کے ڈویلپر ٹولنگ سے منسلک پیکجوں کو نشانہ بنانا۔ دی cursed-modules فیملی نے 1 جولائی اور 2 جولائی کے درمیان دونوں میں 15 سے زیادہ ورژن شائع کیے۔ standard اور فلایا ورژن نمبر (999.x)، انحصار کنفیوژن پلے بک کے بعد۔ دی date-fns-lite کلسٹر (5 ورژن، 2 جولائی) نے جائز، وسیع پیمانے پر استعمال ہونے والے یوٹیلیٹی پیکجوں کی نقالی کے انداز کو جاری رکھا۔
AI ٹولنگ ٹارگٹنگ پیٹرن جس کے ساتھ پچھلے ہفتے قائم کیا گیا تھا۔ ollama-helpers اور openai-agents-helpers کے ساتھ اس مدت میں توسیع ai-explain, ai-sdk-helpers، اور @langgraphjs/toolkit28 جون سے 30 جون کے درمیان تمام تصدیق شدہ @szc-ft/mcp-szcd-client پیکیج (ورژن 0.38.0 اور 0.39.0، 2 جولائی کو تصدیق شدہ) نے ایک نیا پیٹرن متعارف کرایا جس کا ہم ٹریک کر رہے ہیں سکل لیک: انسٹال ہک کے بجائے MCP اسکل کے اندر چھپا ہوا ایک سندی ڈیکریپٹر، جو اسکینرز کے لیے پوشیدہ ہے جو پوسٹ انسٹال پر رک جاتے ہیں۔ ہم نے ایک شائع کیا۔ مکمل سکل لیک تجزیہ یہاں.
یہ ہفتہ وار سنیپ شاٹ ہمارے جاری رہنے کا حصہ ہے۔ بدنیتی پر مبنی کوڈ ڈائجسٹجہاں ہم نئے خطرات کی توثیق کرتے ہیں اور DevSecOps ٹیموں کو ان کی حفاظت میں مدد کرنے کے لیے قابل عمل انٹیلی جنس فراہم کرتے ہیں۔ pipelineنقصان ہونے سے پہلے۔ آئیے اس بات کو توڑتے ہیں کہ ہمیں اس ہفتے کیا ملا اور یہ کیوں اہمیت رکھتا ہے۔
90+ پیکجز۔ ایک ہفتہ۔ دی Pipeline ہدف ہے۔
اس ہفتے کا ڈائجسٹ حملہ آور کی توجہ میں تبدیلی کی عکاسی کرتا ہے، نہ صرف حجم، بلکہ پہلےcisآئن مستقل ورژن کا سیلاب، AI ٹولنگ کلسٹرز، MCP-پرت کی اسناد کی چوری، اور اندرونی monorepo نام کی جگہوں کے خلاف انحصار کنفیوژن حملے۔ مہمات خودکار اور مسلسل ہیں۔ ہفتہ وار اسکین دفاع نہیں ہے۔
Xygeni ابتدائی میلویئر وارننگ npm، PyPI، اور دیگر رجسٹریوں کو حقیقی وقت میں مانیٹر کرتا ہے، اشاعت کے وقت خطرات کو جھنڈا لگاتا ہے، اس سے پہلے کہ وہ کسی تعمیر تک پہنچ جائیں، اس سے پہلے کہ کوئی AI ایجنٹ انہیں خود مختار طریقے سے انسٹال کرے، اور اس سے پہلے کہ اسکل لیک طرز کے پے لوڈ کو انجام دینے کا موقع ملے۔ جب anthropic-toolkit ایک ہی دن میں 20 ورژن شائع کرتا ہے یا cursed-modules دو دنوں میں npm ورژن 999.x کے ساتھ سیلاب، حقیقت کے بعد چلنے والی شناخت پہلے ہی بہت دیر ہوچکی ہے۔
Xygeni کی Open Source Security پلیٹ فارم DevSecOps ٹیموں کو مربوط سپلائی چین پریشر سے آگے رہنے کے لیے درکار حقیقی وقت کا پتہ لگانے اور ترجیح دیتا ہے، لہذا آپ pipelineاپنی ٹیموں کو سست کیے بغیر صاف ستھرا رہیں۔




