יעדע וואך, אונדזערע מאַלוואַרע דעטעקציע סיסטעמען סקענען טויזנטער נייע און דערהייַנטיקטע פּאַקאַדזשאַז אַריבער עפנטלעכע רעגיסטריז ווי npm און PyPI. די וואָך איז געווען קיין אויסנאַם.
מיר האָבן באַשטעטיקט איבער 90 בייזוויליגע פּעקלעך צווישן דעם 26סטן יוני און דעם 3טן יולי, 2026, אויף npm און PyPI, מיט עטלעכע קאַמפּיינס וואָס זענען ווייטער אָנגעגאַנגען פון פריערדיקע וואָכן און נייע וואָס זענען אויפגעקומען.
די nolimit-agent די קאמפיין האט ווייטער ארויסגעגעבן נייע ווערסיעס (1.0.306, 1.0.315, 1.0.316), פארברייטערנדיג דעם מייקראסאפט 365 דעווייס-קאוד פישינג פריימווערק וואס מיר האבן דאקומענטירט אין דעטאל אין אונזער DeviceDoor באַריכט. די anthropic-toolkit קלאַסטער איז געווען די דאָמינירנדיקע נייע קאַמפּיין, מיט 20 ווערסיעס באַשטעטיקט דעם 30סטן יוני אַליין — גלייך צילנדיק פּאַקאַדזשאַז פֿאַרבונדן מיט אַנטהראָפּיק'ס דעוועלאָפּער מכשירים. cursed-modules משפּחה האָט פאַרעפֿנטלעכט איבער 15 ווערסיעס צווישן 1טן יולי און 2טן יולי אין ביידע standard און אויפגעבלאזענע ווערסיע נומערן (999.x), נאכפאלגנדיג דעם אפהענגיקייט צעמישעניש שפיל-בוך. date-fns-lite קלאַסטער (5 ווערסיעס, 2טן יולי) האָט פֿאָרגעזעצט דעם מוסטער פֿון זיך אויסגעבן פֿאַר לעגיטימע, ווײַט־גענוצטע נוצבאַרקייט־פּאַקעטן.
דער קינסטלעכער אינטעליגענץ טולינג טאַרגעטינג מוסטער וואָס איז געגרינדעט געוואָרן לעצטע וואָך מיט ollama-helpers און openai-agents-helpers פארברייטערט אין דעם תקופה מיט ai-explain, ai-sdk-helpers, און @langgraphjs/toolkit, אלע באשטעטיקט צווישן 28סטן יוני און 30סטן יוני. די @szc-ft/mcp-szcd-client פּעקל (ווערסיעס 0.38.0 און 0.39.0, באַשטעטיקט 2טן יולי) האָט אײַנגעפֿירט אַ נײַעם מוסטער וואָס מיר פֿאָלגן ווי סקילליקא קרעדענשאַל דעקריפּטאָר באַהאַלטן אין אַ MCP סקיל אַנשטאָט אַן ינסטאָל קרוק, נישט קענטיק פֿאַר סקאַנערז וואָס האַלטן ביי פּאָסטינסטאַל. מיר האָבן ארויסגעגעבן אַ פולע סקילליק אנאליז דא.
די וועכנטלעכע איבערבליק איז טייל פון אונדזער אנגייענדע בייזוויליקע קאָד דיידזשעסט, וואו מיר וואַלידירן נייע סכנות און צושטעלן פּראַקטישע אינטעליגענץ צו העלפֿן DevSecOps טימז באַשיצן זייערע pipelineס איידער שאדן פאסירט. לאָמיר צעטיילן וואָס מיר האָבן געפֿונען די וואָך און פאַרוואָס עס איז וויכטיק.
90+ פּעקלעך. איין וואָך. די Pipeline איז די ציל.
די וואָך'ס קיצער שפּיגלט אָפּ אַ פֿאַרשייבונג אין אַטאַקירער'ס פֿאָקוס, נישט נאָר באַנד, נאָר אויך פֿאָר-cisיאָן. אנהאַלטנדיקע ווערסיע פלאַדינג, קינסטלעכע אינטעליגענץ טולינג קלאַסטערס, MCP-שיכט קרעדענשאַל גנייווע, און דעפּענדענסי צעמישונג אנפאלן קעגן אינערלעכע מאָנאָרעפּאָ נעמענספּייסיז. די קאַמפּיינז זענען אָטאַמייטיד און קאַנטיניואַס. א וואכנשריפט סקען איז נישט קיין פאַרטיידיקונג.
Xygeni פריע ווארענונג וועגן מאלווער מאָניטאָרירט npm, PyPI, און אַנדערע רעגיסטריז אין פאַקטישער צייט, און מאַרקירט סכנות אין דעם מאָמענט פון פּובליקאַציע, איידער זיי דערגרייכן אַ בילד, איידער אַן AI אַגענט אינסטאַלירט זיי זעלבסטשטענדיק, און איידער אַ SkillLeak-סטיל פּיילאָוד האט אַ געלעגנהייט צו עקסעקוטירן. anthropic-toolkit פאַרעפֿנטלעכט 20 ווערסיעס אין איין טאָג אָדער cursed-modules איבערפלייצט npm מיט ווערסיע 999.x איבער צוויי טעג, דעטעקציע וואס לויפט נאכדעם איז שוין צו שפעט.
קסיגעני'ס Open Source Security פּלאַטפאָרמע גיט DevSecOps טימז די רעאַל-צייט דעטעקציע און פּרייאָראַטיזאַציע וואָס איז נויטיק צו בלייבן פאָרויס פון קאָאָרדינירט צושטעלן קייט דרוק, אַזוי דיין pipelineבלייבט ריין אָן צו פאַרהאַלטן אייערע מאַנשאַפֿטן.




