દૂષિત કોડ ડાયજેસ્ટ 73

ઝાયજેની મેલિશિયસ કોડ ડાયજેસ્ટ 73

લગભગ દર અઠવાડિયે, અમારી માલવેર શોધ સિસ્ટમ્સ npm અને PyPI જેવી જાહેર રજિસ્ટ્રીમાં હજારો નવા અને અપડેટેડ પેકેજોને સ્કેન કરે છે. આ અઠવાડિયું ખૂબ જ સક્રિય રહ્યું.

અમે પુષ્ટિ કરી ૧૩૫ દૂષિત પેકેજો, મુખ્યત્વે npm પર, PyPI, OpenVSX, કમ્પોઝર અને VS કોડ એક્સ્ટેન્શન્સમાં વધારાના કેસ સાથે. ઘણા બધા કોઓર્ડિનેટ ક્લસ્ટરોમાં દેખાયા, જેમાં વારંવાર દૂષિત પ્રકાશનો સમાન નામો હેઠળ અથવા નજીકથી સંબંધિત પેકેજ પરિવારોમાં પ્રકાશિત થયા. એક ઉત્તમ કેસ હતો sensivity પેકેજ, જેણે 2.5.x શ્રેણીમાં 60 થી વધુ વર્ઝનવાળા પ્રકાશનો સાથે npm ને છલકાવી દીધું. અન્ય નોંધપાત્ર ક્લસ્ટરોમાં શામેલ છે ai-sdk-helpers (AI વિકાસકર્તાઓને લક્ષ્ય બનાવતા 8 સંસ્કરણો), @antoncallahan/aws-user-helper (AWS યુટિલિટીનું અનુકરણ કરતી 7 આવૃત્તિઓ), @apple-pay-trust અને @google-pay-trust પરિવારો (પેમેન્ટ ચેકઆઉટ મોડ્યુલ્સની નકલ કરીને), @frengki0707/google-cloud-clone (ગુગલ ક્લાઉડને છેતરતી 5 આવૃત્તિઓ), અને cms-storehub, cms-helpgit, અને cms-github (સીએમએસને લક્ષ્ય બનાવવું pipelines). ઘણા પેકેજો ચુકવણી અને ચેકઆઉટ મોડ્યુલોની નકલ કરતા હતા, enterprise અને આંતરિક વેબ પેકેજો, એનાલિટિક્સ ક્લાયન્ટ્સ, UI ફાઉન્ડેશન્સ, ડેવલપર યુટિલિટીઝ, કમ્પોનન્ટ એક્સપ્લોરર્સ, ક્લાઉડ- અને ગૂગલ-થીમ આધારિત પેકેજો, અને આધુનિક ડેવલપમેન્ટ વર્કફ્લોમાં સામાન્ય રીતે વિશ્વસનીય અન્ય મોડ્યુલ્સ.

આ કોઈ અલગ અલગ વિસંગતતાઓ નહોતી. આ અઠવાડિયે જે બાબત ખાસ જોવા મળી તે એ હતી કે સમાન પેકેજ પરિવારોમાં વારંવાર પ્રકાશનનો સ્કેલ, નામકરણ પેટર્નનો ફરીથી ઉપયોગ, અને વાસ્તવિક સોફ્ટવેર ડિલિવરીમાં કાયદેસર નિર્ભરતા જેવા દેખાવા માટે દૂષિત પેકેજોને કેવી રીતે છુપાવવામાં આવ્યા હતા. pipelines.

આ સાપ્તાહિક સ્નેપશોટ અમારા ચાલુ મેલિશિયસ કોડ ડાયજેસ્ટનો એક ભાગ છે, જ્યાં અમે નવા જોખમોને માન્ય કરીએ છીએ અને DevSecOps ટીમોને તેમના pipelineનુકસાન થાય તે પહેલાં.

ચાલો આ અઠવાડિયે આપણને શું મળ્યું અને તે શા માટે મહત્વનું છે તે વિભાજીત કરીએ.

પુષ્ટિ થયેલ દૂષિત પેકેજો
ઇકોસિસ્ટમ પેકેજ તારીખ
npm@ક્લાઉડપ્લેટફોર્મ-સિંગલ-સ્પા/એડમિનિસ્ટ્રેશન: 99.99.10030 શકે છે, 2026
npm@ક્લાઉડપ્લેટફોર્મ-સિંગલ-સ્પા/એસવીપી-એસ3-સ્ટોરેજ:99.99.10030 શકે છે, 2026
npm@maximvs1538/os-npm:99.0.030 શકે છે, 2026
npm@સરળ-પ્રવેશ/ઉતરાણ-માર્ગો: 99.9.530 શકે છે, 2026
npm@સરળ-પ્રવેશ/બહાર-નોંધણી-ફોપ-નેવિગેટર: 99.9.530 શકે છે, 2026
npm@સરળ-પ્રવેશ/રૂટ્સ: 99.9.530 શકે છે, 2026
npm@t-in-one/form_product_token:5.7.130 શકે છે, 2026
npm@capibar.chat/ui-kit:99.5.730 શકે છે, 2026
vscodexampp-મેનેજર: 5.1.330 શકે છે, 2026
npm@ચેટ-ટેમ્પલેટ/ઓથ:૧.૦.૦31 શકે છે, 2026
npmjson-થી-સરળ-ગ્રાફક્યુએલ-સ્કીમા: 1.0.0જૂન 1, 2026
npm@gs-select/savings-client-application:99.0.0જૂન 1, 2026
npmનેમો-રિપોર્ટર:1.8.2જૂન 1, 2026
npmસીએમએસ-ગીથબ: 4.2.4જૂન 1, 2026
npmસીએમએસ-હેલ્પગિટ: 4.2.6જૂન 1, 2026
npmસીએમએસ-હેલ્પગિટ: 4.2.8જૂન 1, 2026
npmસીએમએસ-સ્ટોરહબ: 1.3.4જૂન 1, 2026
npmસીએમએસ-સ્ટોરહબ: 1.3.5જૂન 1, 2026
npmસીએમએસ-સ્ટોરહબ: 1.3.6જૂન 1, 2026
pypiસિમટુરિયલ-ક્લાઈમ: 0.3.0જૂન 1, 2026
npmરિટેલ-સ્થાન-વ્યૂહરચના-ફ્રન્ટએન્ડ: 1.1.1જૂન 1, 2026
npmરિટેલ-સ્થાન-વ્યૂહરચના-ફ્રન્ટએન્ડ: 1.1.2જૂન 1, 2026
npmકન્વર્સા-એસડીકે:2.0.2જૂન 1, 2026
npmવેલ્ટ્રિક્સ: 9.0.0જૂન 1, 2026
npmવેલ્ટ્રિક્સ: 9.0.1જૂન 1, 2026
npmજિંગમેડેશિશી:1.0.4જૂન 1, 2026
npmજિંગમેડેશિશી:1.0.5જૂન 1, 2026
npm@tse-ડિજિટલ/કોર: 99.0.0જૂન 1, 2026
npm@ટેલેનોર-એસઈ/કોર: 99.0.0જૂન 1, 2026
npm@ownit/core:99.0.0જૂન 1, 2026
npmદર્દીના દસ્તાવેજો: 75.0.0જૂન 1, 2026
npm@antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.69જૂન 1, 2026
npm@antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.68જૂન 1, 2026
npm@antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.82જૂન 1, 2026
npm@antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.80જૂન 1, 2026
npm@antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.81જૂન 1, 2026
npm@antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.83જૂન 1, 2026
npm@antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.3જૂન 1, 2026
npm@emcd-vue/auth: ૬.૪.૯જૂન 1, 2026
npm@emcd-vue/b2b-પે-ફોર્મ:5.7.4જૂન 1, 2026
npm@ccrm/user-storage-api-axios:5.0.1જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.8જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.12જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.16જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.17જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.18જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.19જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.20જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.21જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.22જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.23જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.24જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.25જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.26જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.27જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.28જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.29જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.30જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.31જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.32જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.41જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.42જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.43જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.44જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.45જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.46જૂન 2, 2026
npmmeoo-ui-હેલ્પર્સ:1.0.1જૂન 2, 2026
npm@langgraphjs/ટૂલકીટ:1.2.10જૂન 2, 2026
npmઆઇવોક્સ: 9.0.1જૂન 2, 2026
npmસંવેદનશીલતા: 2.5.53જૂન 3, 2026
npmસંવેદનશીલતા: 2.5.54જૂન 3, 2026
npmસંવેદનશીલતા: 2.5.55જૂન 3, 2026
npmસંવેદનશીલતા: 2.5.56જૂન 3, 2026
npmસંવેદનશીલતા: 2.5.57જૂન 3, 2026
npmસંવેદનશીલતા: 2.5.61જૂન 3, 2026
npm@સેન્ટ્રી-બ્રાઉઝર-એસડીકે/પ્રોફાઇલિંગ-નોડ: 1.0.1જૂન 4, 2026
npm@સેન્ટ્રી-બ્રાઉઝર-એસડીકે/પ્રોફાઇલિંગ-નોડ: 1.0.2જૂન 4, 2026
npm@સેન્ટ્રી-બ્રાઉઝર-એસડીકે/પ્રોફાઇલિંગ-નોડ: 1.0.5જૂન 4, 2026
npmભંડોળ ઊભુ કરનાર સેવા: 1.0.0જૂન 4, 2026
npmસંવેદનશીલતા: 2.5.67જૂન 4, 2026
npmસંવેદનશીલતા: 2.5.68જૂન 4, 2026
npmવીજી-ઇન્ટરેક્શન-મોડેલ: 40.0.5જૂન 4, 2026
npmઇન્ટરનલલિબ_વી૩૪૬:૧.૦.૯જૂન 4, 2026
npmઇન્ટરનલલિબ_વી૩૪૬:૧.૦.૯જૂન 4, 2026
npmઇન્ટરનલલિબ_વી૩૪૬:૧.૦.૯જૂન 4, 2026
npmai-sdk-હેલ્પર્સ:0.2.1જૂન 4, 2026
npmai-sdk-હેલ્પર્સ:0.3.0જૂન 4, 2026
npmai-sdk-હેલ્પર્સ:0.3.1જૂન 4, 2026
npmai-sdk-હેલ્પર્સ:1.1.0જૂન 4, 2026
npmai-sdk-હેલ્પર્સ:1.1.1જૂન 4, 2026
npmai-sdk-હેલ્પર્સ:1.3.0જૂન 4, 2026
npmai-sdk-હેલ્પર્સ:1.4.0જૂન 4, 2026
npmai-sdk-હેલ્પર્સ:1.4.2જૂન 4, 2026
npm@achuthvp/postinstall-poc:1.0.3જૂન 4, 2026
npmસંવેદનશીલતા: 2.5.0જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.1જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.2જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.3જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.4જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.5જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.13જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.14જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.15જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.33જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.34જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.35જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.36જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.37જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.38જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.58જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.59જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.60જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.62જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.63જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.64જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.65જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.66જૂન 5, 2026
npmસંવેદનશીલતા: 2.5.69જૂન 5, 2026


નબળાઈઓ અને દૂષિત કોડ સામે તમારી ઓપન સોર્સ ડિપેન્ડન્સીને સુરક્ષિત કરો

દૂષિત પેકેજોને તમારા સુધી પહોંચવા ન દો pipelines. ઝાયજેની પ્રારંભિક માલવેર શોધ તમારી ટીમને સૌથી મહત્વપૂર્ણ જોખમોમાં રીઅલ-ટાઇમ દૃશ્યતા આપે છે, હાનિકારક અવલંબન તમારા સોફ્ટવેરને સ્પર્શ કરે તે પહેલાં જ તેને પકડી લે છે.

જેમ આ અઠવાડિયાના ડાયજેસ્ટથી સ્પષ્ટ થાય છે, દૂષિત પેકેજ ઝુંબેશનું પ્રમાણ અને સુઘડતા ધીમી પડી રહી નથી. કોઓર્ડિનેટેડ વર્ઝન ફ્લડિંગ, પેમેન્ટ મોડ્યુલનું અનુકરણ અને આંતરિક-સાઉન્ડિંગ પેકેજ નામો એ કેટલીક યુક્તિઓ છે જેનો ઉપયોગ હુમલાખોરો પસાર થવા માટે કરી રહ્યા છે. standard આ જોખમોથી આગળ રહેવા માટે સમયાંતરે ઓડિટ કરતાં વધુ જરૂરી છે, તે તમારી ટીમો જેના પર આધાર રાખે છે તે દરેક રજિસ્ટ્રીમાં સતત દેખરેખની જરૂર છે.

ક્ષયગેનીસ Open Source Security સોલ્યુશન પ્રકાશનના બિંદુ પર, npm, PyPI અને તેનાથી આગળ હાનિકારક પેકેજોને સ્કેન કરે છે અને અવરોધિત કરે છે. વાસ્તવિક દુનિયામાં સૌથી મોટું જોખમ ઊભું કરતી નબળાઈઓને સંદર્ભિત રીતે પ્રાથમિકતા આપીને (અને તમારી DevSecOps ટીમો માટે ઉપાય માર્ગને સુવ્યવસ્થિત કરીને) Xygeni તમને વિકાસ ધીમો પાડ્યા વિના સુરક્ષિત, વિશ્વસનીય સોફ્ટવેર ડિલિવરી જાળવવામાં મદદ કરે છે.

સ્કા-ટૂલ્સ-સોફ્ટવેર-રચના-વિશ્લેષણ-ટૂલ્સ
તમારા સોફ્ટવેર જોખમોને પ્રાથમિકતા આપો, સુધારણા કરો અને સુરક્ષિત કરો
તમારું મફત ખાતું મેળવો.
કોઈ ક્રેડિટ કાર્ડ જરૂરી નથી.

તમારા સોફ્ટવેર ડેવલપમેન્ટ અને ડિલિવરી સુરક્ષિત કરો

ઝાયજેની પ્રોડક્ટ સ્યુટ સાથે