প্রায় প্রতি সপ্তাহেআমাদের ম্যালওয়্যার শনাক্তকরণ সিস্টেমগুলো npm এবং PyPI-এর মতো পাবলিক রেজিস্ট্রি জুড়ে হাজার হাজার নতুন এবং আপডেট করা প্যাকেজ স্ক্যান করে। এই সপ্তাহটি খুব সক্রিয় ছিল।
আমরা নিশ্চিত করেছি ১৩৫টি ক্ষতিকারক প্যাকেজমূলত npm জুড়ে, এবং এর পাশাপাশি PyPI, OpenVSX, Composer, ও VS Code এক্সটেনশনগুলোতেও এর ঘটনা ঘটেছে। এর মধ্যে বেশ কয়েকটি সমন্বিত গুচ্ছাকারে দেখা গেছে, যেখানে একই নামে বা ঘনিষ্ঠভাবে সম্পর্কিত প্যাকেজ পরিবারগুলোর মধ্যে বারবার ক্ষতিকারক সংস্করণ প্রকাশ করা হয়েছে। একটি উল্লেখযোগ্য ঘটনা ছিল... sensivity প্যাকেজটি, যা 2.5.x রেঞ্জ জুড়ে ৬০টিরও বেশি ভার্সনযুক্ত রিলিজ দিয়ে npm-কে প্লাবিত করেছিল। অন্যান্য উল্লেখযোগ্য ক্লাস্টারগুলির মধ্যে অন্তর্ভুক্ত ছিল ai-sdk-helpers (এআই ডেভেলপারদের লক্ষ্য করে ৮টি সংস্করণ), @antoncallahan/aws-user-helper (৭টি সংস্করণ একটি AWS ইউটিলিটির ছদ্মবেশ ধারণ করছে), @apple-pay-trust এবং @google-pay-trust পরিবারসমূহ (পেমেন্ট চেকআউট মডিউল অনুকরণ করে), @frengki0707/google-cloud-clone (গুগল ক্লাউডকে নকল করা ৫টি সংস্করণ), এবং cms-storehub, cms-helpgit, এবং cms-github (সিএমএসকে লক্ষ্য করে) pipelineঅনেক প্যাকেজ পেমেন্ট এবং চেকআউট মডিউলগুলোর অনুকরণ করেছিল, enterprise এবং অভ্যন্তরীণ ওয়েব প্যাকেজ, অ্যানালিটিক্স ক্লায়েন্ট, ইউআই ফাউন্ডেশন, ডেভেলপার ইউটিলিটি, কম্পোনেন্ট এক্সপ্লোরার, ক্লাউড- ও গুগল-থিমযুক্ত প্যাকেজ, এবং অন্যান্য মডিউল যা আধুনিক ডেভেলপমেন্ট ওয়ার্কফ্লোতে সাধারণত বিশ্বস্ত বলে বিবেচিত হয়।
এগুলো বিচ্ছিন্ন কোনো ব্যতিক্রম ছিল না। এই সপ্তাহে যা বিশেষভাবে চোখে পড়েছে তা হলো, একই প্যাকেজ ফ্যামিলি জুড়ে বারবার প্রকাশনার ব্যাপকতা, নামকরণের ধরনের পুনরাবৃত্তি, এবং আসল সফটওয়্যার ডেলিভারির ভেতরে ক্ষতিকারক প্যাকেজগুলোকে বৈধ ডিপেন্ডেন্সির মতো দেখানোর জন্য ছদ্মবেশ ধারণ করানোর পদ্ধতি। pipelines.
এই সাপ্তাহিক সংক্ষিপ্ত বিবরণটি আমাদের চলমান 'ম্যালিসিয়াস কোড ডাইজেস্ট'-এর একটি অংশ, যেখানে আমরা নতুন হুমকিগুলো যাচাই করি এবং ডেভসেকওপিএস দলগুলোকে তাদের সুরক্ষায় সাহায্য করার জন্য কার্যকরী তথ্য সরবরাহ করি। pipelineক্ষতি ঘটার আগে।
চলুন, এই সপ্তাহে আমরা যা খুঁজে পেয়েছি তা বিশদভাবে আলোচনা করা যাক এবং কেন এটি গুরুত্বপূর্ণ।
| ইকোসিস্টেম | প্যাকেজ | তারিখ |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | 30 পারে, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 পারে, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | 30 পারে, 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | 30 পারে, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30 পারে, 2026 |
| npm | @easy-entry/routes:99.9.5 | 30 পারে, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | 30 পারে, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | 30 পারে, 2026 |
| vscode | xampp-manager:5.1.3 | 30 পারে, 2026 |
| npm | @চ্যাট-টেমপ্লেট/অথ:1.0.0 | 31 পারে, 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | জুন 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | জুন 1, 2026 |
| npm | নেমো-রিপোর্টার:১.৮.২ | জুন 1, 2026 |
| npm | সিএমএস-গিটহাব:৪.২.৪ | জুন 1, 2026 |
| npm | সিএমএস-হেল্পগিট:৪.২.৮ | জুন 1, 2026 |
| npm | সিএমএস-হেল্পগিট:৪.২.৮ | জুন 1, 2026 |
| npm | সিএমএস-স্টোরহাব:১.৩.৪ | জুন 1, 2026 |
| npm | সিএমএস-স্টোরহাব:১.৩.৪ | জুন 1, 2026 |
| npm | সিএমএস-স্টোরহাব:১.৩.৪ | জুন 1, 2026 |
| পাইপি | simtooreal-cli:0.3.0 | জুন 1, 2026 |
| npm | খুচরা-অবস্থান-কৌশল-ফ্রন্টএন্ড:১.১.২ | জুন 1, 2026 |
| npm | খুচরা-অবস্থান-কৌশল-ফ্রন্টএন্ড:১.১.২ | জুন 1, 2026 |
| npm | কনভার্সা-এসডিকে:২.০.২ | জুন 1, 2026 |
| npm | ভেলট্রিক্স:৯.০.১ | জুন 1, 2026 |
| npm | ভেলট্রিক্স:৯.০.১ | জুন 1, 2026 |
| npm | jingmeideshishi:1.0.4 | জুন 1, 2026 |
| npm | jingmeideshishi:1.0.5 | জুন 1, 2026 |
| npm | @tse-digital/core:99.0.0 | জুন 1, 2026 |
| npm | @telenor-se/core:99.0.0 | জুন 1, 2026 |
| npm | @ownit/core:99.0.0 | জুন 1, 2026 |
| npm | রোগীর নথি: 75.0.0 | জুন 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | জুন 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | জুন 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | জুন 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | জুন 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | জুন 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | জুন 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | জুন 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | জুন 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | জুন 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | জুন 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | জুন 2, 2026 |
| npm | আইভক্স:৯.০.১ | জুন 2, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 3, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 3, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 3, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 3, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 3, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | জুন 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | জুন 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | জুন 4, 2026 |
| npm | fundraiserserv:1.0.0 | জুন 4, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 4, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 4, 2026 |
| npm | vg-interaction-model:40.0.5 | জুন 4, 2026 |
| npm | অভ্যন্তরীণ_v346:1.0.3 | জুন 4, 2026 |
| npm | অভ্যন্তরীণ_v346:1.0.5 | জুন 4, 2026 |
| npm | অভ্যন্তরীণ_v346:1.0.9 | জুন 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 | জুন 4, 2026 |
| npm | ai-sdk-helpers:0.3.0 | জুন 4, 2026 |
| npm | ai-sdk-helpers:0.3.1 | জুন 4, 2026 |
| npm | ai-sdk-helpers:1.1.0 | জুন 4, 2026 |
| npm | ai-sdk-helpers:1.1.1 | জুন 4, 2026 |
| npm | ai-sdk-helpers:1.3.0 | জুন 4, 2026 |
| npm | ai-sdk-helpers:1.4.0 | জুন 4, 2026 |
| npm | ai-sdk-helpers:1.4.2 | জুন 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | জুন 4, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
| npm | সংবেদনশীলতা:২.৫.৮ | জুন 5, 2026 |
দুর্বলতা এবং ক্ষতিকর কোড থেকে আপনার ওপেন সোর্স নির্ভরতা সুরক্ষিত করুন
ক্ষতিকারক প্যাকেজ আপনার কাছে পৌঁছাতে দেবেন না। pipelines. জাইজেনি প্রাথমিক ম্যালওয়্যার সনাক্তকরণ এটি আপনার টিমকে সবচেয়ে গুরুত্বপূর্ণ হুমকিগুলো সম্পর্কে রিয়েল-টাইম ধারণা দেয় এবং ক্ষতিকর ডিপেন্ডেন্সিগুলো আপনার সফটওয়্যারে আসার আগেই শনাক্ত করে।
এই সপ্তাহের সারসংক্ষেপ থেকে যেমনটা স্পষ্ট, ক্ষতিকারক প্যাকেজ ক্যাম্পেইনগুলোর পরিমাণ ও জটিলতা কমছে না। সমন্বিত ভার্সন ফ্লাডিং, পেমেন্ট মডিউলের ছদ্মবেশ ধারণ, এবং অভ্যন্তরীণ বলে মনে হওয়া প্যাকেজের নাম—এগুলো হলো এমন কিছু কৌশল যা আক্রমণকারীরা ফাঁকি দেওয়ার জন্য ব্যবহার করছে। standard প্রতিরক্ষা ব্যবস্থা। এই হুমকিগুলো থেকে এগিয়ে থাকতে হলে শুধু পর্যায়ক্রমিক নিরীক্ষাই যথেষ্ট নয়, বরং আপনার দলগুলো যেসব রেজিস্ট্রির ওপর নির্ভর করে, সেগুলোর নিরবচ্ছিন্ন পর্যবেক্ষণ প্রয়োজন।
জাইজেনির Open Source Security এই সলিউশনটি npm, PyPI এবং এর বাইরেও, প্রকাশের মুহূর্তেই ক্ষতিকর প্যাকেজ স্ক্যান করে এবং ব্লক করে। সবচেয়ে বড় বাস্তব-জগতের ঝুঁকি সৃষ্টিকারী দুর্বলতাগুলোকে প্রাসঙ্গিকভাবে অগ্রাধিকার দিয়ে (এবং আপনার DevSecOps টিমের জন্য প্রতিকারের পথ সুগম করে), Xygeni আপনাকে ডেভেলপমেন্টের গতি না কমিয়েই নিরাপদ ও নির্ভরযোগ্য সফটওয়্যার সরবরাহ বজায় রাখতে সাহায্য করে।




