લગભગ દર અઠવાડિયે, અમારી માલવેર શોધ સિસ્ટમ્સ npm અને PyPI જેવી જાહેર રજિસ્ટ્રીમાં હજારો નવા અને અપડેટેડ પેકેજોને સ્કેન કરે છે. આ અઠવાડિયું ખૂબ જ સક્રિય રહ્યું.
અમે પુષ્ટિ કરી ૧૩૫ દૂષિત પેકેજો, મુખ્યત્વે npm પર, PyPI, OpenVSX, કમ્પોઝર અને VS કોડ એક્સ્ટેન્શન્સમાં વધારાના કેસ સાથે. ઘણા બધા કોઓર્ડિનેટ ક્લસ્ટરોમાં દેખાયા, જેમાં વારંવાર દૂષિત પ્રકાશનો સમાન નામો હેઠળ અથવા નજીકથી સંબંધિત પેકેજ પરિવારોમાં પ્રકાશિત થયા. એક ઉત્તમ કેસ હતો sensivity પેકેજ, જેણે 2.5.x શ્રેણીમાં 60 થી વધુ વર્ઝનવાળા પ્રકાશનો સાથે npm ને છલકાવી દીધું. અન્ય નોંધપાત્ર ક્લસ્ટરોમાં શામેલ છે ai-sdk-helpers (AI વિકાસકર્તાઓને લક્ષ્ય બનાવતા 8 સંસ્કરણો), @antoncallahan/aws-user-helper (AWS યુટિલિટીનું અનુકરણ કરતી 7 આવૃત્તિઓ), @apple-pay-trust અને @google-pay-trust પરિવારો (પેમેન્ટ ચેકઆઉટ મોડ્યુલ્સની નકલ કરીને), @frengki0707/google-cloud-clone (ગુગલ ક્લાઉડને છેતરતી 5 આવૃત્તિઓ), અને cms-storehub, cms-helpgit, અને cms-github (સીએમએસને લક્ષ્ય બનાવવું pipelines). ઘણા પેકેજો ચુકવણી અને ચેકઆઉટ મોડ્યુલોની નકલ કરતા હતા, enterprise અને આંતરિક વેબ પેકેજો, એનાલિટિક્સ ક્લાયન્ટ્સ, UI ફાઉન્ડેશન્સ, ડેવલપર યુટિલિટીઝ, કમ્પોનન્ટ એક્સપ્લોરર્સ, ક્લાઉડ- અને ગૂગલ-થીમ આધારિત પેકેજો, અને આધુનિક ડેવલપમેન્ટ વર્કફ્લોમાં સામાન્ય રીતે વિશ્વસનીય અન્ય મોડ્યુલ્સ.
આ કોઈ અલગ અલગ વિસંગતતાઓ નહોતી. આ અઠવાડિયે જે બાબત ખાસ જોવા મળી તે એ હતી કે સમાન પેકેજ પરિવારોમાં વારંવાર પ્રકાશનનો સ્કેલ, નામકરણ પેટર્નનો ફરીથી ઉપયોગ, અને વાસ્તવિક સોફ્ટવેર ડિલિવરીમાં કાયદેસર નિર્ભરતા જેવા દેખાવા માટે દૂષિત પેકેજોને કેવી રીતે છુપાવવામાં આવ્યા હતા. pipelines.
આ સાપ્તાહિક સ્નેપશોટ અમારા ચાલુ મેલિશિયસ કોડ ડાયજેસ્ટનો એક ભાગ છે, જ્યાં અમે નવા જોખમોને માન્ય કરીએ છીએ અને DevSecOps ટીમોને તેમના pipelineનુકસાન થાય તે પહેલાં.
ચાલો આ અઠવાડિયે આપણને શું મળ્યું અને તે શા માટે મહત્વનું છે તે વિભાજીત કરીએ.
| ઇકોસિસ્ટમ | પેકેજ | તારીખ |
|---|---|---|
| npm | @ક્લાઉડપ્લેટફોર્મ-સિંગલ-સ્પા/એડમિનિસ્ટ્રેશન: 99.99.100 | 30 શકે છે, 2026 |
| npm | @ક્લાઉડપ્લેટફોર્મ-સિંગલ-સ્પા/એસવીપી-એસ3-સ્ટોરેજ:99.99.100 | 30 શકે છે, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | 30 શકે છે, 2026 |
| npm | @સરળ-પ્રવેશ/ઉતરાણ-માર્ગો: 99.9.5 | 30 શકે છે, 2026 |
| npm | @સરળ-પ્રવેશ/બહાર-નોંધણી-ફોપ-નેવિગેટર: 99.9.5 | 30 શકે છે, 2026 |
| npm | @સરળ-પ્રવેશ/રૂટ્સ: 99.9.5 | 30 શકે છે, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | 30 શકે છે, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | 30 શકે છે, 2026 |
| vscode | xampp-મેનેજર: 5.1.3 | 30 શકે છે, 2026 |
| npm | @ચેટ-ટેમ્પલેટ/ઓથ:૧.૦.૦ | 31 શકે છે, 2026 |
| npm | json-થી-સરળ-ગ્રાફક્યુએલ-સ્કીમા: 1.0.0 | જૂન 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | જૂન 1, 2026 |
| npm | નેમો-રિપોર્ટર:1.8.2 | જૂન 1, 2026 |
| npm | સીએમએસ-ગીથબ: 4.2.4 | જૂન 1, 2026 |
| npm | સીએમએસ-હેલ્પગિટ: 4.2.6 | જૂન 1, 2026 |
| npm | સીએમએસ-હેલ્પગિટ: 4.2.8 | જૂન 1, 2026 |
| npm | સીએમએસ-સ્ટોરહબ: 1.3.4 | જૂન 1, 2026 |
| npm | સીએમએસ-સ્ટોરહબ: 1.3.5 | જૂન 1, 2026 |
| npm | સીએમએસ-સ્ટોરહબ: 1.3.6 | જૂન 1, 2026 |
| pypi | સિમટુરિયલ-ક્લાઈમ: 0.3.0 | જૂન 1, 2026 |
| npm | રિટેલ-સ્થાન-વ્યૂહરચના-ફ્રન્ટએન્ડ: 1.1.1 | જૂન 1, 2026 |
| npm | રિટેલ-સ્થાન-વ્યૂહરચના-ફ્રન્ટએન્ડ: 1.1.2 | જૂન 1, 2026 |
| npm | કન્વર્સા-એસડીકે:2.0.2 | જૂન 1, 2026 |
| npm | વેલ્ટ્રિક્સ: 9.0.0 | જૂન 1, 2026 |
| npm | વેલ્ટ્રિક્સ: 9.0.1 | જૂન 1, 2026 |
| npm | જિંગમેડેશિશી:1.0.4 | જૂન 1, 2026 |
| npm | જિંગમેડેશિશી:1.0.5 | જૂન 1, 2026 |
| npm | @tse-ડિજિટલ/કોર: 99.0.0 | જૂન 1, 2026 |
| npm | @ટેલેનોર-એસઈ/કોર: 99.0.0 | જૂન 1, 2026 |
| npm | @ownit/core:99.0.0 | જૂન 1, 2026 |
| npm | દર્દીના દસ્તાવેજો: 75.0.0 | જૂન 1, 2026 |
| npm | @antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.69 | જૂન 1, 2026 |
| npm | @antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.68 | જૂન 1, 2026 |
| npm | @antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.82 | જૂન 1, 2026 |
| npm | @antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.80 | જૂન 1, 2026 |
| npm | @antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.81 | જૂન 1, 2026 |
| npm | @antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.83 | જૂન 1, 2026 |
| npm | @antoncallahan/aws-વપરાશકર્તા-સહાયક:6767.67.3 | જૂન 1, 2026 |
| npm | @emcd-vue/auth: ૬.૪.૯ | જૂન 1, 2026 |
| npm | @emcd-vue/b2b-પે-ફોર્મ:5.7.4 | જૂન 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.8 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.12 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.16 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.17 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.18 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.19 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.20 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.21 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.22 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.23 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.24 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.25 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.26 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.27 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.28 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.29 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.30 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.31 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.32 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.41 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.42 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.43 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.44 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.45 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.46 | જૂન 2, 2026 |
| npm | meoo-ui-હેલ્પર્સ:1.0.1 | જૂન 2, 2026 |
| npm | @langgraphjs/ટૂલકીટ:1.2.10 | જૂન 2, 2026 |
| npm | આઇવોક્સ: 9.0.1 | જૂન 2, 2026 |
| npm | સંવેદનશીલતા: 2.5.53 | જૂન 3, 2026 |
| npm | સંવેદનશીલતા: 2.5.54 | જૂન 3, 2026 |
| npm | સંવેદનશીલતા: 2.5.55 | જૂન 3, 2026 |
| npm | સંવેદનશીલતા: 2.5.56 | જૂન 3, 2026 |
| npm | સંવેદનશીલતા: 2.5.57 | જૂન 3, 2026 |
| npm | સંવેદનશીલતા: 2.5.61 | જૂન 3, 2026 |
| npm | @સેન્ટ્રી-બ્રાઉઝર-એસડીકે/પ્રોફાઇલિંગ-નોડ: 1.0.1 | જૂન 4, 2026 |
| npm | @સેન્ટ્રી-બ્રાઉઝર-એસડીકે/પ્રોફાઇલિંગ-નોડ: 1.0.2 | જૂન 4, 2026 |
| npm | @સેન્ટ્રી-બ્રાઉઝર-એસડીકે/પ્રોફાઇલિંગ-નોડ: 1.0.5 | જૂન 4, 2026 |
| npm | ભંડોળ ઊભુ કરનાર સેવા: 1.0.0 | જૂન 4, 2026 |
| npm | સંવેદનશીલતા: 2.5.67 | જૂન 4, 2026 |
| npm | સંવેદનશીલતા: 2.5.68 | જૂન 4, 2026 |
| npm | વીજી-ઇન્ટરેક્શન-મોડેલ: 40.0.5 | જૂન 4, 2026 |
| npm | ઇન્ટરનલલિબ_વી૩૪૬:૧.૦.૯ | જૂન 4, 2026 |
| npm | ઇન્ટરનલલિબ_વી૩૪૬:૧.૦.૯ | જૂન 4, 2026 |
| npm | ઇન્ટરનલલિબ_વી૩૪૬:૧.૦.૯ | જૂન 4, 2026 |
| npm | ai-sdk-હેલ્પર્સ:0.2.1 | જૂન 4, 2026 |
| npm | ai-sdk-હેલ્પર્સ:0.3.0 | જૂન 4, 2026 |
| npm | ai-sdk-હેલ્પર્સ:0.3.1 | જૂન 4, 2026 |
| npm | ai-sdk-હેલ્પર્સ:1.1.0 | જૂન 4, 2026 |
| npm | ai-sdk-હેલ્પર્સ:1.1.1 | જૂન 4, 2026 |
| npm | ai-sdk-હેલ્પર્સ:1.3.0 | જૂન 4, 2026 |
| npm | ai-sdk-હેલ્પર્સ:1.4.0 | જૂન 4, 2026 |
| npm | ai-sdk-હેલ્પર્સ:1.4.2 | જૂન 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | જૂન 4, 2026 |
| npm | સંવેદનશીલતા: 2.5.0 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.1 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.2 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.3 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.4 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.5 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.13 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.14 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.15 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.33 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.34 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.35 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.36 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.37 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.38 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.58 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.59 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.60 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.62 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.63 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.64 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.65 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.66 | જૂન 5, 2026 |
| npm | સંવેદનશીલતા: 2.5.69 | જૂન 5, 2026 |
નબળાઈઓ અને દૂષિત કોડ સામે તમારી ઓપન સોર્સ ડિપેન્ડન્સીને સુરક્ષિત કરો
દૂષિત પેકેજોને તમારા સુધી પહોંચવા ન દો pipelines. ઝાયજેની પ્રારંભિક માલવેર શોધ તમારી ટીમને સૌથી મહત્વપૂર્ણ જોખમોમાં રીઅલ-ટાઇમ દૃશ્યતા આપે છે, હાનિકારક અવલંબન તમારા સોફ્ટવેરને સ્પર્શ કરે તે પહેલાં જ તેને પકડી લે છે.
જેમ આ અઠવાડિયાના ડાયજેસ્ટથી સ્પષ્ટ થાય છે, દૂષિત પેકેજ ઝુંબેશનું પ્રમાણ અને સુઘડતા ધીમી પડી રહી નથી. કોઓર્ડિનેટેડ વર્ઝન ફ્લડિંગ, પેમેન્ટ મોડ્યુલનું અનુકરણ અને આંતરિક-સાઉન્ડિંગ પેકેજ નામો એ કેટલીક યુક્તિઓ છે જેનો ઉપયોગ હુમલાખોરો પસાર થવા માટે કરી રહ્યા છે. standard આ જોખમોથી આગળ રહેવા માટે સમયાંતરે ઓડિટ કરતાં વધુ જરૂરી છે, તે તમારી ટીમો જેના પર આધાર રાખે છે તે દરેક રજિસ્ટ્રીમાં સતત દેખરેખની જરૂર છે.
ક્ષયગેનીસ Open Source Security સોલ્યુશન પ્રકાશનના બિંદુ પર, npm, PyPI અને તેનાથી આગળ હાનિકારક પેકેજોને સ્કેન કરે છે અને અવરોધિત કરે છે. વાસ્તવિક દુનિયામાં સૌથી મોટું જોખમ ઊભું કરતી નબળાઈઓને સંદર્ભિત રીતે પ્રાથમિકતા આપીને (અને તમારી DevSecOps ટીમો માટે ઉપાય માર્ગને સુવ્યવસ્થિત કરીને) Xygeni તમને વિકાસ ધીમો પાડ્યા વિના સુરક્ષિત, વિશ્વસનીય સોફ્ટવેર ડિલિવરી જાળવવામાં મદદ કરે છે.




