दुर्भावनापूर्ण कोड डाइजेस्ट 73

Xygeni दुर्भावनापूर्ण कोड डाइजेस्ट 73

विषय - सूची

अवश्य पढ़ें पोस्ट

रुचि के नवीनतम पोस्ट

लगभग हर सप्ताहहमारे मैलवेयर पहचान सिस्टम npm और PyPI जैसी सार्वजनिक रजिस्ट्रियों में हजारों नए और अपडेट किए गए पैकेजों को स्कैन करते हैं। यह सप्ताह बहुत सक्रिय रहा।

हम इस बात की पुष्टि करते हैं 198 दुर्भावनापूर्ण पैकेजमुख्य रूप से npm पर, साथ ही PyPI, OpenVSX, Composer और VS Code एक्सटेंशन में भी इसके मामले सामने आए। इनमें से कई समन्वित समूहों में दिखाई दिए, जिनमें एक ही नाम से या निकट से संबंधित पैकेज परिवारों में बार-बार दुर्भावनापूर्ण रिलीज़ प्रकाशित की गईं। एक उल्लेखनीय मामला था... sensivity इस पैकेज ने npm को 2.5.x रेंज में 60 से अधिक संस्करणों वाली रिलीज़ से भर दिया। अन्य उल्लेखनीय क्लस्टर में शामिल थे: ai-sdk-helpers (एआई डेवलपर्स को लक्षित करते हुए 8 संस्करण), @antoncallahan/aws-user-helper (AWS यूटिलिटी का रूप धारण करने वाले 7 संस्करण), @apple-pay-trust और @google-pay-trust परिवार (भुगतान चेकआउट मॉड्यूल की नकल करते हुए), @frengki0707/google-cloud-clone (गूगल क्लाउड की नकल करने वाले 5 संस्करण), और cms-storehub, cms-helpgit, तथा cms-github (सीएमएस को लक्षित करते हुए) pipelineकई पैकेज भुगतान और चेकआउट मॉड्यूल की नकल करते थे। enterprise और आंतरिक वेब पैकेज, एनालिटिक्स क्लाइंट, यूआई फाउंडेशन, डेवलपर यूटिलिटीज, कंपोनेंट एक्सप्लोरर, क्लाउड- और गूगल-थीम वाले पैकेज, और अन्य मॉड्यूल जो आधुनिक विकास वर्कफ़्लो में आमतौर पर विश्वसनीय होते हैं।

ये कोई अलग-थलग घटनाएं नहीं थीं। इस सप्ताह जो बात सबसे ज़्यादा ध्यान खींचने वाली थी, वह थी एक ही पैकेज परिवार में बार-बार प्रकाशन की व्यापकता, नामकरण पैटर्न का पुन: उपयोग, और जिस तरह से दुर्भावनापूर्ण पैकेजों को वास्तविक सॉफ़्टवेयर डिलीवरी के भीतर वैध निर्भरताओं की तरह दिखने के लिए छिपाया गया था। pipelines.

यह साप्ताहिक स्नैपशॉट हमारे चल रहे मैलिशियस कोड डाइजेस्ट का हिस्सा है, जिसमें हम नए खतरों का सत्यापन करते हैं और डेवसेकऑप्स टीमों को उनकी सुरक्षा में मदद करने के लिए कार्रवाई योग्य जानकारी प्रदान करते हैं। pipelineक्षति होने से पहले।

आइए इस सप्ताह हमने जो पाया और वह क्यों महत्वपूर्ण है, इसका विश्लेषण करें।

पुष्टि किए गए दुर्भावनापूर्ण पैकेज
पारिस्थितिकी तंत्र पैकेज तारीख
NPM@cloudplatform-single-spa/administration:99.99.10030 मई 2026
NPM@cloudplatform-single-spa/svp-s3-storage:99.99.10030 मई 2026
NPM@maximvs1538/os-npm:99.0.030 मई 2026
NPM@easy-entry/landing-routes:99.9.530 मई 2026
NPM@easy-entry/outside-registration-fop-navigator:99.9.530 मई 2026
NPM@easy-entry/routes:99.9.530 मई 2026
NPM@t-in-one/form_product_token:5.7.130 मई 2026
NPM@capibar.chat/ui-kit:99.5.730 मई 2026
बनामकोडxampp-manager:5.1.330 मई 2026
NPM@chat-template/auth:1.0.031 मई 2026
NPMjson-to-simple-graphql-schema:1.0.0जून 1, 2026
NPM@gs-select/savings-client-application:99.0.0जून 1, 2026
NPMनेमो-रिपोर्टर:1.8.2जून 1, 2026
NPMसीएमएस-गिटहब:4.2.4जून 1, 2026
NPMसीएमएस-हेल्पगिट:4.2.6जून 1, 2026
NPMसीएमएस-हेल्पगिट:4.2.8जून 1, 2026
NPMसीएमएस-स्टोरहब:1.3.4जून 1, 2026
NPMसीएमएस-स्टोरहब:1.3.5जून 1, 2026
NPMसीएमएस-स्टोरहब:1.3.6जून 1, 2026
पिपीsimtooreal-cli:0.3.0जून 1, 2026
NPMरिटेल-लोकेशन-स्ट्रेटेजी-फ्रंटएंड:1.1.1जून 1, 2026
NPMरिटेल-लोकेशन-स्ट्रेटेजी-फ्रंटएंड:1.1.2जून 1, 2026
NPMकन्वर्सा-एसडीके:2.0.2जून 1, 2026
NPMवेल्ट्रिक्स:9.0.0जून 1, 2026
NPMवेल्ट्रिक्स:9.0.1जून 1, 2026
NPMजिंगमीदेशीशी:1.0.4जून 1, 2026
NPMजिंगमीदेशीशी:1.0.5जून 1, 2026
NPM@tse-digital/core:99.0.0जून 1, 2026
NPM@telenor-se/core:99.0.0जून 1, 2026
NPM@ownit/core:99.0.0जून 1, 2026
NPMरोगी दस्तावेज़:75.0.0जून 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.69जून 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.68जून 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.82जून 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.80जून 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.81जून 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.83जून 1, 2026
NPM@antoncallahan/aws-user-helper:6767.67.3जून 1, 2026
NPM@emcd-vue/auth:6.4.9जून 1, 2026
NPM@emcd-vue/b2b-pay-form:5.7.4जून 1, 2026
NPM@ccrm/user-storage-api-axios:5.0.1जून 2, 2026
NPMसंवेदनशीलता: 2.5.8जून 2, 2026
NPMसंवेदनशीलता: 2.5.12जून 2, 2026
NPMसंवेदनशीलता: 2.5.16जून 2, 2026
NPMसंवेदनशीलता: 2.5.17जून 2, 2026
NPMसंवेदनशीलता: 2.5.18जून 2, 2026
NPMसंवेदनशीलता: 2.5.19जून 2, 2026
NPMसंवेदनशीलता: 2.5.20जून 2, 2026
NPMसंवेदनशीलता: 2.5.21जून 2, 2026
NPMसंवेदनशीलता: 2.5.22जून 2, 2026
NPMसंवेदनशीलता: 2.5.23जून 2, 2026
NPMसंवेदनशीलता: 2.5.24जून 2, 2026
NPMसंवेदनशीलता: 2.5.25जून 2, 2026
NPMसंवेदनशीलता: 2.5.26जून 2, 2026
NPMसंवेदनशीलता: 2.5.27जून 2, 2026
NPMसंवेदनशीलता: 2.5.28जून 2, 2026
NPMसंवेदनशीलता: 2.5.29जून 2, 2026
NPMसंवेदनशीलता: 2.5.30जून 2, 2026
NPMसंवेदनशीलता: 2.5.31जून 2, 2026
NPMसंवेदनशीलता: 2.5.32जून 2, 2026
NPMसंवेदनशीलता: 2.5.41जून 2, 2026
NPMसंवेदनशीलता: 2.5.42जून 2, 2026
NPMसंवेदनशीलता: 2.5.43जून 2, 2026
NPMसंवेदनशीलता: 2.5.44जून 2, 2026
NPMसंवेदनशीलता: 2.5.45जून 2, 2026
NPMसंवेदनशीलता: 2.5.46जून 2, 2026
NPMmeoo-ui-helpers:1.0.1जून 2, 2026
NPM@langgraphjs/toolkit:1.2.10जून 2, 2026
NPMआईवॉक्स:9.0.1जून 2, 2026
NPMसंवेदनशीलता: 2.5.53जून 3, 2026
NPMसंवेदनशीलता: 2.5.54जून 3, 2026
NPMसंवेदनशीलता: 2.5.55जून 3, 2026
NPMसंवेदनशीलता: 2.5.56जून 3, 2026
NPMसंवेदनशीलता: 2.5.57जून 3, 2026
NPMसंवेदनशीलता: 2.5.61जून 3, 2026
NPM@sentry-browser-sdk/profiling-node:1.0.1जून 4, 2026
NPM@sentry-browser-sdk/profiling-node:1.0.2जून 4, 2026
NPM@sentry-browser-sdk/profiling-node:1.0.5जून 4, 2026
NPMफंडरेज़रसर्व:1.0.0जून 4, 2026
NPMसंवेदनशीलता: 2.5.67जून 4, 2026
NPMसंवेदनशीलता: 2.5.68जून 4, 2026
NPMvg-interaction-model:40.0.5जून 4, 2026
NPMआंतरिकलिब_v346:1.0.3जून 4, 2026
NPMआंतरिकलिब_v346:1.0.5जून 4, 2026
NPMआंतरिकलिब_v346:1.0.9जून 4, 2026
NPMएआई-एसडीके-हेल्पर्स:0.2.1जून 4, 2026
NPMएआई-एसडीके-हेल्पर्स:0.3.0जून 4, 2026
NPMएआई-एसडीके-हेल्पर्स:0.3.1जून 4, 2026
NPMएआई-एसडीके-हेल्पर्स:1.1.0जून 4, 2026
NPMएआई-एसडीके-हेल्पर्स:1.1.1जून 4, 2026
NPMएआई-एसडीके-हेल्पर्स:1.3.0जून 4, 2026
NPMएआई-एसडीके-हेल्पर्स:1.4.0जून 4, 2026
NPMएआई-एसडीके-हेल्पर्स:1.4.2जून 4, 2026
NPM@achuthvp/postinstall-poc:1.0.3जून 4, 2026
NPMसंवेदनशीलता: 2.5.0जून 5, 2026
NPMसंवेदनशीलता: 2.5.1जून 5, 2026
NPMसंवेदनशीलता: 2.5.2जून 5, 2026
NPMसंवेदनशीलता: 2.5.3जून 5, 2026
NPMसंवेदनशीलता: 2.5.4जून 5, 2026
NPMसंवेदनशीलता: 2.5.5जून 5, 2026
NPMसंवेदनशीलता: 2.5.13जून 5, 2026
NPMसंवेदनशीलता: 2.5.14जून 5, 2026
NPMसंवेदनशीलता: 2.5.15जून 5, 2026
NPMसंवेदनशीलता: 2.5.33जून 5, 2026
NPMसंवेदनशीलता: 2.5.34जून 5, 2026
NPMसंवेदनशीलता: 2.5.35जून 5, 2026
NPMसंवेदनशीलता: 2.5.36जून 5, 2026
NPMसंवेदनशीलता: 2.5.37जून 5, 2026
NPMसंवेदनशीलता: 2.5.38जून 5, 2026
NPMसंवेदनशीलता: 2.5.58जून 5, 2026
NPMसंवेदनशीलता: 2.5.59जून 5, 2026
NPMसंवेदनशीलता: 2.5.60जून 5, 2026
NPMसंवेदनशीलता: 2.5.62जून 5, 2026
NPMसंवेदनशीलता: 2.5.63जून 5, 2026
NPMसंवेदनशीलता: 2.5.64जून 5, 2026
NPMसंवेदनशीलता: 2.5.65जून 5, 2026
NPMसंवेदनशीलता: 2.5.66जून 5, 2026
NPMसंवेदनशीलता: 2.5.69जून 5, 2026


अपनी ओपन सोर्स निर्भरताओं को कमजोरियों और दुर्भावनापूर्ण कोड से सुरक्षित करें।

हानिकारक पैकेजों को अपने सिस्टम तक न पहुंचने दें। pipelines. Xygeni प्रारंभिक मैलवेयर पहचान यह आपकी टीम को सबसे महत्वपूर्ण खतरों की वास्तविक समय में जानकारी देता है, जिससे हानिकारक निर्भरताओं को आपके सॉफ़्टवेयर तक पहुँचने से पहले ही पकड़ा जा सकता है।

जैसा कि इस सप्ताह के सारांश से स्पष्ट है, दुर्भावनापूर्ण पैकेज अभियानों की संख्या और जटिलता में कोई कमी नहीं आ रही है। समन्वित संस्करण बाढ़, भुगतान मॉड्यूल प्रतिरूपण और आंतरिक प्रतीत होने वाले पैकेज नाम, हमलावरों द्वारा घुसपैठ करने के लिए उपयोग की जाने वाली कुछ रणनीतियां हैं। standard सुरक्षा उपाय। इन खतरों से आगे रहने के लिए आवधिक ऑडिट से कहीं अधिक की आवश्यकता होती है, इसके लिए आपकी टीमों द्वारा उपयोग किए जाने वाले प्रत्येक रजिस्ट्री की निरंतर निगरानी की आवश्यकता होती है।

ज़ाइगेनी का Open Source Security Xygeni समाधान npm, PyPI और अन्य प्लेटफॉर्म पर हानिकारक पैकेजों को प्रकाशन के समय ही स्कैन करके ब्लॉक कर देता है। सबसे अधिक वास्तविक जोखिम पैदा करने वाली कमजोरियों को प्राथमिकता देकर (और आपकी DevSecOps टीमों के लिए निवारण प्रक्रिया को सरल बनाकर) Xygeni विकास को धीमा किए बिना सुरक्षित और विश्वसनीय सॉफ़्टवेयर डिलीवरी बनाए रखने में आपकी मदद करता है।

एससीए-टूल्स-सॉफ्टवेयर-कंपोजिशन-एनालिसिस-टूल्स
अपने सॉफ़्टवेयर जोखिमों को प्राथमिकता दें, उनका निवारण करें और उन्हें सुरक्षित करें।
अपना निःशुल्क खाता प्राप्त करें।
किसी क्रेडिट कार्ड की आवश्यकता नहीं।

अपने सॉफ़्टवेयर विकास और वितरण को सुरक्षित करें

Xygeni प्रोडक्ट सूट के साथ