लगभग हर सप्ताहहमारे मैलवेयर पहचान सिस्टम npm और PyPI जैसी सार्वजनिक रजिस्ट्रियों में हजारों नए और अपडेट किए गए पैकेजों को स्कैन करते हैं। यह सप्ताह बहुत सक्रिय रहा।
हम इस बात की पुष्टि करते हैं 198 दुर्भावनापूर्ण पैकेजमुख्य रूप से npm पर, साथ ही PyPI, OpenVSX, Composer और VS Code एक्सटेंशन में भी इसके मामले सामने आए। इनमें से कई समन्वित समूहों में दिखाई दिए, जिनमें एक ही नाम से या निकट से संबंधित पैकेज परिवारों में बार-बार दुर्भावनापूर्ण रिलीज़ प्रकाशित की गईं। एक उल्लेखनीय मामला था... sensivity इस पैकेज ने npm को 2.5.x रेंज में 60 से अधिक संस्करणों वाली रिलीज़ से भर दिया। अन्य उल्लेखनीय क्लस्टर में शामिल थे: ai-sdk-helpers (एआई डेवलपर्स को लक्षित करते हुए 8 संस्करण), @antoncallahan/aws-user-helper (AWS यूटिलिटी का रूप धारण करने वाले 7 संस्करण), @apple-pay-trust और @google-pay-trust परिवार (भुगतान चेकआउट मॉड्यूल की नकल करते हुए), @frengki0707/google-cloud-clone (गूगल क्लाउड की नकल करने वाले 5 संस्करण), और cms-storehub, cms-helpgit, तथा cms-github (सीएमएस को लक्षित करते हुए) pipelineकई पैकेज भुगतान और चेकआउट मॉड्यूल की नकल करते थे। enterprise और आंतरिक वेब पैकेज, एनालिटिक्स क्लाइंट, यूआई फाउंडेशन, डेवलपर यूटिलिटीज, कंपोनेंट एक्सप्लोरर, क्लाउड- और गूगल-थीम वाले पैकेज, और अन्य मॉड्यूल जो आधुनिक विकास वर्कफ़्लो में आमतौर पर विश्वसनीय होते हैं।
ये कोई अलग-थलग घटनाएं नहीं थीं। इस सप्ताह जो बात सबसे ज़्यादा ध्यान खींचने वाली थी, वह थी एक ही पैकेज परिवार में बार-बार प्रकाशन की व्यापकता, नामकरण पैटर्न का पुन: उपयोग, और जिस तरह से दुर्भावनापूर्ण पैकेजों को वास्तविक सॉफ़्टवेयर डिलीवरी के भीतर वैध निर्भरताओं की तरह दिखने के लिए छिपाया गया था। pipelines.
यह साप्ताहिक स्नैपशॉट हमारे चल रहे मैलिशियस कोड डाइजेस्ट का हिस्सा है, जिसमें हम नए खतरों का सत्यापन करते हैं और डेवसेकऑप्स टीमों को उनकी सुरक्षा में मदद करने के लिए कार्रवाई योग्य जानकारी प्रदान करते हैं। pipelineक्षति होने से पहले।
आइए इस सप्ताह हमने जो पाया और वह क्यों महत्वपूर्ण है, इसका विश्लेषण करें।
| पारिस्थितिकी तंत्र | पैकेज | तारीख |
|---|---|---|
| NPM | @cloudplatform-single-spa/administration:99.99.100 | 30 मई 2026 |
| NPM | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 मई 2026 |
| NPM | @maximvs1538/os-npm:99.0.0 | 30 मई 2026 |
| NPM | @easy-entry/landing-routes:99.9.5 | 30 मई 2026 |
| NPM | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30 मई 2026 |
| NPM | @easy-entry/routes:99.9.5 | 30 मई 2026 |
| NPM | @t-in-one/form_product_token:5.7.1 | 30 मई 2026 |
| NPM | @capibar.chat/ui-kit:99.5.7 | 30 मई 2026 |
| बनामकोड | xampp-manager:5.1.3 | 30 मई 2026 |
| NPM | @chat-template/auth:1.0.0 | 31 मई 2026 |
| NPM | json-to-simple-graphql-schema:1.0.0 | जून 1, 2026 |
| NPM | @gs-select/savings-client-application:99.0.0 | जून 1, 2026 |
| NPM | नेमो-रिपोर्टर:1.8.2 | जून 1, 2026 |
| NPM | सीएमएस-गिटहब:4.2.4 | जून 1, 2026 |
| NPM | सीएमएस-हेल्पगिट:4.2.6 | जून 1, 2026 |
| NPM | सीएमएस-हेल्पगिट:4.2.8 | जून 1, 2026 |
| NPM | सीएमएस-स्टोरहब:1.3.4 | जून 1, 2026 |
| NPM | सीएमएस-स्टोरहब:1.3.5 | जून 1, 2026 |
| NPM | सीएमएस-स्टोरहब:1.3.6 | जून 1, 2026 |
| पिपी | simtooreal-cli:0.3.0 | जून 1, 2026 |
| NPM | रिटेल-लोकेशन-स्ट्रेटेजी-फ्रंटएंड:1.1.1 | जून 1, 2026 |
| NPM | रिटेल-लोकेशन-स्ट्रेटेजी-फ्रंटएंड:1.1.2 | जून 1, 2026 |
| NPM | कन्वर्सा-एसडीके:2.0.2 | जून 1, 2026 |
| NPM | वेल्ट्रिक्स:9.0.0 | जून 1, 2026 |
| NPM | वेल्ट्रिक्स:9.0.1 | जून 1, 2026 |
| NPM | जिंगमीदेशीशी:1.0.4 | जून 1, 2026 |
| NPM | जिंगमीदेशीशी:1.0.5 | जून 1, 2026 |
| NPM | @tse-digital/core:99.0.0 | जून 1, 2026 |
| NPM | @telenor-se/core:99.0.0 | जून 1, 2026 |
| NPM | @ownit/core:99.0.0 | जून 1, 2026 |
| NPM | रोगी दस्तावेज़:75.0.0 | जून 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.69 | जून 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.68 | जून 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.82 | जून 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.80 | जून 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.81 | जून 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.83 | जून 1, 2026 |
| NPM | @antoncallahan/aws-user-helper:6767.67.3 | जून 1, 2026 |
| NPM | @emcd-vue/auth:6.4.9 | जून 1, 2026 |
| NPM | @emcd-vue/b2b-pay-form:5.7.4 | जून 1, 2026 |
| NPM | @ccrm/user-storage-api-axios:5.0.1 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.8 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.12 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.16 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.17 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.18 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.19 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.20 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.21 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.22 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.23 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.24 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.25 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.26 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.27 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.28 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.29 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.30 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.31 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.32 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.41 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.42 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.43 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.44 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.45 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.46 | जून 2, 2026 |
| NPM | meoo-ui-helpers:1.0.1 | जून 2, 2026 |
| NPM | @langgraphjs/toolkit:1.2.10 | जून 2, 2026 |
| NPM | आईवॉक्स:9.0.1 | जून 2, 2026 |
| NPM | संवेदनशीलता: 2.5.53 | जून 3, 2026 |
| NPM | संवेदनशीलता: 2.5.54 | जून 3, 2026 |
| NPM | संवेदनशीलता: 2.5.55 | जून 3, 2026 |
| NPM | संवेदनशीलता: 2.5.56 | जून 3, 2026 |
| NPM | संवेदनशीलता: 2.5.57 | जून 3, 2026 |
| NPM | संवेदनशीलता: 2.5.61 | जून 3, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.1 | जून 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.2 | जून 4, 2026 |
| NPM | @sentry-browser-sdk/profiling-node:1.0.5 | जून 4, 2026 |
| NPM | फंडरेज़रसर्व:1.0.0 | जून 4, 2026 |
| NPM | संवेदनशीलता: 2.5.67 | जून 4, 2026 |
| NPM | संवेदनशीलता: 2.5.68 | जून 4, 2026 |
| NPM | vg-interaction-model:40.0.5 | जून 4, 2026 |
| NPM | आंतरिकलिब_v346:1.0.3 | जून 4, 2026 |
| NPM | आंतरिकलिब_v346:1.0.5 | जून 4, 2026 |
| NPM | आंतरिकलिब_v346:1.0.9 | जून 4, 2026 |
| NPM | एआई-एसडीके-हेल्पर्स:0.2.1 | जून 4, 2026 |
| NPM | एआई-एसडीके-हेल्पर्स:0.3.0 | जून 4, 2026 |
| NPM | एआई-एसडीके-हेल्पर्स:0.3.1 | जून 4, 2026 |
| NPM | एआई-एसडीके-हेल्पर्स:1.1.0 | जून 4, 2026 |
| NPM | एआई-एसडीके-हेल्पर्स:1.1.1 | जून 4, 2026 |
| NPM | एआई-एसडीके-हेल्पर्स:1.3.0 | जून 4, 2026 |
| NPM | एआई-एसडीके-हेल्पर्स:1.4.0 | जून 4, 2026 |
| NPM | एआई-एसडीके-हेल्पर्स:1.4.2 | जून 4, 2026 |
| NPM | @achuthvp/postinstall-poc:1.0.3 | जून 4, 2026 |
| NPM | संवेदनशीलता: 2.5.0 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.1 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.2 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.3 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.4 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.5 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.13 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.14 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.15 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.33 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.34 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.35 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.36 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.37 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.38 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.58 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.59 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.60 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.62 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.63 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.64 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.65 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.66 | जून 5, 2026 |
| NPM | संवेदनशीलता: 2.5.69 | जून 5, 2026 |
अपनी ओपन सोर्स निर्भरताओं को कमजोरियों और दुर्भावनापूर्ण कोड से सुरक्षित करें।
हानिकारक पैकेजों को अपने सिस्टम तक न पहुंचने दें। pipelines. Xygeni प्रारंभिक मैलवेयर पहचान यह आपकी टीम को सबसे महत्वपूर्ण खतरों की वास्तविक समय में जानकारी देता है, जिससे हानिकारक निर्भरताओं को आपके सॉफ़्टवेयर तक पहुँचने से पहले ही पकड़ा जा सकता है।
जैसा कि इस सप्ताह के सारांश से स्पष्ट है, दुर्भावनापूर्ण पैकेज अभियानों की संख्या और जटिलता में कोई कमी नहीं आ रही है। समन्वित संस्करण बाढ़, भुगतान मॉड्यूल प्रतिरूपण और आंतरिक प्रतीत होने वाले पैकेज नाम, हमलावरों द्वारा घुसपैठ करने के लिए उपयोग की जाने वाली कुछ रणनीतियां हैं। standard सुरक्षा उपाय। इन खतरों से आगे रहने के लिए आवधिक ऑडिट से कहीं अधिक की आवश्यकता होती है, इसके लिए आपकी टीमों द्वारा उपयोग किए जाने वाले प्रत्येक रजिस्ट्री की निरंतर निगरानी की आवश्यकता होती है।
ज़ाइगेनी का Open Source Security Xygeni समाधान npm, PyPI और अन्य प्लेटफॉर्म पर हानिकारक पैकेजों को प्रकाशन के समय ही स्कैन करके ब्लॉक कर देता है। सबसे अधिक वास्तविक जोखिम पैदा करने वाली कमजोरियों को प्राथमिकता देकर (और आपकी DevSecOps टीमों के लिए निवारण प्रक्रिया को सरल बनाकर) Xygeni विकास को धीमा किए बिना सुरक्षित और विश्वसनीय सॉफ़्टवेयर डिलीवरी बनाए रखने में आपकी मदद करता है।




