લગભગ દર અઠવાડિયે, અમારી માલવેર શોધ સિસ્ટમ્સ npm અને PyPI જેવી જાહેર રજિસ્ટ્રીમાં હજારો નવા અને અપડેટેડ પેકેજોને સ્કેન કરે છે. આ અઠવાડિયું પણ તેનો અપવાદ નહોતું.
અમે 7 જૂન અને 12 જૂન, 2026 ની વચ્ચે 130 થી વધુ દૂષિત પેકેજોની પુષ્ટિ કરી, મુખ્યત્વે npm માં, PyPI માં વધારાના કેસ સાથે. ઘણા સંકલિત ક્લસ્ટરોમાં દેખાયા, વારંવાર દૂષિત પ્રકાશનો સમાન નામો હેઠળ અથવા નજીકથી સંબંધિત પેકેજ પરિવારોમાં પ્રકાશિત થયા.
આ અઠવાડિયે સૌથી નોંધપાત્ર કેસ હતો sensivity, જેણે 2.5.x રેન્જમાં 40 થી વધુ વર્ઝનવાળા રિલીઝ સાથે npm ને છલકાવી દીધું, જે ઘણા દિવસોમાં પુષ્ટિ મળી. અન્ય નોંધપાત્ર ક્લસ્ટરોમાં @solana-labs સોલાના ઇકોસિસ્ટમ (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — 7 જૂન અને 8 જૂનના રોજ બે અલગ-અલગ પ્રકાશન ઝુંબેશમાં) ને લક્ષ્ય બનાવતા ટાઇપોસ્ક્વાટ્સ, @nstrlabs ફેમિલી (sdk, ixel, utils, shared-components, api-client, auth — આંતરિક પેકેજ નેમસ્પેસ સામે ડિપેન્ડન્સી કન્ફ્યુઝન એટેક), @klapp-login-platform જૂથ (નેટિવ-એસડીકે, ઓઆઈડીસી, રૂટ્સ — પ્રમાણીકરણ પ્લેટફોર્મનો ઢોંગ કરવો), internallib_v557 અને internallib_v984 (અસ્પષ્ટ આંતરિક પુસ્તકાલય ઢોંગીઓના બહુવિધ સંસ્કરણો), pocteszep (૧૧ જૂનના રોજ પ્રકાશિત ૬ આવૃત્તિઓ), અને ક્રિપ્ટો અને વેબ૩ ઉપયોગિતાઓનો સમૂહ જેમાં blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, અને farming-tools-12. આ morningstar-design-system પેકેજ 10 જૂનના રોજ ત્રણ સંસ્કરણોમાં દેખાયું, જે એક જાણીતી નાણાકીય ડિઝાઇન સિસ્ટમનું અનુકરણ કરે છે. PyPI માં, helixagentai, telegramlite, અને cdjeez અઠવાડિયા દરમિયાન પુષ્ટિ મળી હતી.
આ કોઈ અલગ અલગ વિસંગતતાઓ નહોતી. આ અઠવાડિયે જે બાબત સ્પષ્ટ થઈ તે હતી આંતરિક પેકેજ નેમસ્પેસ સામે નિર્ભરતા મૂંઝવણના હુમલાઓની સાંદ્રતા, સતત બહુ-દિવસીય પ્રકાશન sensivity ક્લસ્ટર, અને વેબ3 અને સોલાના ટૂલિંગનું સતત લક્ષ્યીકરણ, એક પેટર્ન જે 2026 માં નોંધપાત્ર રીતે ઝડપી બની છે.
આ સાપ્તાહિક સ્નેપશોટ અમારા ચાલુ મેલિશિયસ કોડ ડાયજેસ્ટનો એક ભાગ છે, જ્યાં અમે નવા જોખમોને માન્ય કરીએ છીએ અને DevSecOps ટીમોને તેમના pipelineનુકસાન થાય તે પહેલાં.
ચાલો આ અઠવાડિયે આપણને શું મળ્યું અને તે શા માટે મહત્વનું છે તે વિભાજીત કરીએ.
દૂષિત પેકેજોને ઉત્પાદન સુધી પહોંચવા ન દો
તમારી ટીમો જે પેકેજો પર આધાર રાખે છે તેનો ઉપયોગ એન્ટ્રી પોઈન્ટ તરીકે વધુને વધુ થઈ રહ્યો છે. ઝાયજેની પ્રારંભિક માલવેર શોધ રીઅલ ટાઇમમાં રજિસ્ટ્રીનું નિરીક્ષણ કરે છે, તેથી આ અઠવાડિયાના ડાયજેસ્ટમાંના ધમકીઓ તમારા બિલ્ડ્સ સુધી પહોંચે તે પહેલાં જ અવરોધિત થઈ જાય છે.
આ અઠવાડિયાના તારણો એ યાદ અપાવે છે કે યુક્તિઓ વધુ ઇરાદાપૂર્વકની બની રહી છે. વર્ઝન ફ્લડિંગ, નેમસ્પેસ ઇમ્પર્સનોનેશન અને બહુ-દિવસીય સંકલિત ઝુંબેશ હવે એજ કેસ નથી, તે છે standard હુમલાખોર પ્લેબુક. એક વખતના સ્કેન અને મેન્યુઅલ ઓડિટ એવા અભિયાનો સાથે તાલ મિલાવી શકતા નથી જે એકસાથે અનેક દિવસો અને રજિસ્ટ્રીમાં ડઝનેક સંસ્કરણો પ્રકાશિત કરે છે.
ક્ષયગેનીસ Open Source Security સોલ્યુશન તમારી DevSecOps ટીમોને npm, PyPI અને તેનાથી આગળ સતત દૃશ્યતા આપે છે, પ્રકાશનના સમયે હાનિકારક પેકેજો શોધી કાઢે છે, વાસ્તવિક શોષણક્ષમ જોખમ શું છે તેને પ્રાથમિકતા આપે છે અને શોધથી ઉપાય સુધીનો માર્ગ ટૂંકો કરે છે. જેથી તમારી ટીમો સુરક્ષા સાથે સમાધાન કર્યા વિના ઝડપથી શિપિંગ કરી શકે.




