દર અઠવાડિયે, અમારી માલવેર શોધ સિસ્ટમ્સ npm અને PyPI જેવી જાહેર રજિસ્ટ્રીમાં હજારો નવા અને અપડેટેડ પેકેજોને સ્કેન કરે છે. આ અઠવાડિયું પણ તેનો અપવાદ નહોતું.
અમે ૧૨ જૂનથી ૧૯ જૂન, ૨૦૨૬ દરમિયાન ૨૦૦ થી વધુ દૂષિત પેકેજોની પુષ્ટિ કરી, મુખ્યત્વે સમગ્ર npm માં, અને વધારાના કેસ PyPI માં હતા. ઘણા સંકલિત ક્લસ્ટરોમાં દેખાયા, વારંવાર દૂષિત પ્રકાશનો સમાન નામો હેઠળ અથવા નજીકથી સંબંધિત પેકેજ પરિવારોમાં પ્રકાશિત થયા.
આ અઠવાડિયે સૌથી નોંધપાત્ર કેસ હતો sensivity, જેણે 2.5.x રેન્જમાં 70 થી વધુ વર્ઝનવાળા રિલીઝ સાથે npm ને છલકાવી દીધું, જે ઘણા દિવસોમાં પુષ્ટિ મળી. અન્ય નોંધપાત્ર ક્લસ્ટરોમાં @solana-labs સોલાના ઇકોસિસ્ટમને લક્ષ્ય બનાવતા ટાઇપોસ્ક્વોટ્સ (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — 7 જૂન અને 8 જૂનના રોજ બે અલગ અલગ પ્રકાશન ઝુંબેશમાં), @nstrlabs કુટુંબ (sdk, ixel, utils, shared-components, api-client, auth — આંતરિક પેકેજ નેમસ્પેસ સામે નિર્ભરતા મૂંઝવણ હુમલો), ધ @klapp-login-platform જૂથ (native-sdk, oidc, routes — પ્રમાણીકરણ પ્લેટફોર્મનો ઢોંગ કરવો), internallib_v557 અને internallib_v984 (અસ્પષ્ટ આંતરિક પુસ્તકાલય ઢોંગીઓના બહુવિધ સંસ્કરણો), pocteszep (૧૧ જૂનના રોજ પ્રકાશિત ૬ આવૃત્તિઓ), અને ક્રિપ્ટો અને વેબ૩ ઉપયોગિતાઓનો સમૂહ જેમાં blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, અને farming-tools-12. આ morningstar-design-system પેકેજ 10 જૂનના રોજ ત્રણ વર્ઝનમાં દેખાયું, જે એક જાણીતી નાણાકીય ડિઝાઇન સિસ્ટમનું અનુકરણ કરે છે.
૧૩ જૂનથી, ગતિ ઝડપી બની. houzidawang806 એકલા ક્લસ્ટરમાં એક જ દિવસમાં 25 થી વધુ આવૃત્તિઓ પ્રકાશિત થઈ, જેમાં ભાઈ-બહેનો જોડાયા. houzidawang807 અને houzidawang808. આ metrics-pipeline-d8k2 ૧૫ જૂન અને ૧૮ જૂન વચ્ચે ૨૧ વર્ઝનમાં પેકેજ સતત પુનઃપ્રકાશિત કરવામાં આવ્યું - બ્લોકલિસ્ટથી આગળ રહેવા માટે રચાયેલ એક સતત ચોરી ઝુંબેશ. friendly-greeter-demo આખા અઠવાડિયા દરમિયાન પેકેજ બધા વર્ઝનમાં ફરીથી દેખાતું રહ્યું. નવા નિર્ભરતા મૂંઝવણના પ્રયાસો સપાટી પર આવ્યા xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, અને અન્ય ઘણા બધા — બધા 999.x શ્રેણીમાં ફૂલેલા સંસ્કરણ નંબરો ધરાવે છે. રેન્ડમ હેક્સ પ્રત્યય સાથે સામાન્ય ઉપયોગિતા નામોનો એક નવો સમૂહ (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) ૧૮-૧૯ જૂનના રોજ દેખાયો, જે સ્ક્રિપ્ટેડ બલ્ક રજીસ્ટ્રેશન સાથે સુસંગત હતો. સપ્તાહનો અંત આ સાથે થયો trimprompt, trimprompt-hub, claude-cup, અને web3-crypto-address-utils ૧૯ જૂનના રોજ પુષ્ટિ થઈ. PyPI માં, neuralbridge-sdk (૪.૫.x–૫.૧.x માં પાંચ આવૃત્તિઓ), deepstrain, teambot-ai, hello-test-s1, અને aiaddin-agent અઠવાડિયા દરમિયાન પુષ્ટિ મળી હતી.
આ કોઈ અલગ અલગ વિસંગતતાઓ નહોતી. આ અઠવાડિયે જે બાબતો સ્પષ્ટ થઈ તે હતી આંતરિક પેકેજ નેમસ્પેસ સામે ડિપેન્ડન્સી કન્ફ્યુઝન હુમલાઓનું એકાગ્રતા, ટેકડાઉનને ટકી રહેવા માટે રચાયેલ સતત બહુ-દિવસીય પ્રકાશન ઝુંબેશ, Web3 અને DeFi ટૂલિંગ (એક પેટર્ન જે 2026 માં નોંધપાત્ર રીતે ઝડપી બની છે) નું સતત લક્ષ્યીકરણ, અને સામાન્ય ડિપેન્ડન્સી ટ્રીમાં ભળીને શોધ ટાળવા માટે રચાયેલ સામાન્ય, અવાજ જેવા પેકેજ નામોનો વધતો ઉપયોગ.
આ સાપ્તાહિક સ્નેપશોટ અમારા ચાલુ મેલિશિયસ કોડ ડાયજેસ્ટનો એક ભાગ છે, જ્યાં અમે નવા જોખમોને માન્ય કરીએ છીએ અને DevSecOps ટીમોને તેમના pipelineનુકસાન થાય તે પહેલાં. ચાલો આ અઠવાડિયે આપણને શું મળ્યું અને તે શા માટે મહત્વનું છે તે વિભાજીત કરીએ.
સંકલિત ઝુંબેશોને તમારા સુધી પહોંચવા ન દો Pipelines
આ અઠવાડિયાનો ડાયજેસ્ટ એક જ ધમકી વિશે નહોતો; તે સ્કેલ વિશે હતો. 200 થી વધુ પુષ્ટિ થયેલ પેકેજો, ઘણા દિવસો સુધી સતત વર્ઝન ફ્લડિંગ, અને સ્ક્રિપ્ટેડ બલ્ક રજીસ્ટ્રેશન ઝુંબેશ મેન્યુઅલ સમીક્ષાઓ ટ્રેક કરી શકે તે કરતાં વધુ ઝડપથી ચાલી રહી હતી. હુમલાખોરો તમારા પકડવાની રાહ જોઈ રહ્યા નથી.
ઝાયજેની પ્રારંભિક માલવેર શોધ npm, PyPI અને અન્ય રજિસ્ટ્રીઓનું સતત નિરીક્ષણ કરે છે, પ્રકાશન સમયે ધમકીઓને ફ્લેગ કરે છે, બિલ્ડમાં ઉતર્યા પછી નહીં. જ્યારે કોઈ ઝુંબેશ ચાર દિવસમાં સમાન દૂષિત પેકેજના 21 સંસ્કરણો પ્રકાશિત કરે છે, ત્યારે સાપ્તાહિક સ્કેન સમયસર કંઈપણ પકડી શકતું નથી.
ક્ષયગેનીસ Open Source Security સોલ્યુશન તમારી DevSecOps ટીમોને વાસ્તવિક સમયની દૃશ્યતા અને પ્રાથમિકતા આપે છે જેથી તેઓ આ પ્રકારના સંકલિત દબાણથી આગળ રહી શકે, જેથી તમારી pipelineતમારી ટીમોને ધીમી પાડ્યા વિના સ્વચ્છ રહો.




