प्रति सप्ताहहमारे मैलवेयर डिटेक्शन सिस्टम npm और PyPI जैसी सार्वजनिक रजिस्ट्रियों में हजारों नए और अपडेट किए गए पैकेजों को स्कैन करते हैं। यह सप्ताह भी इसका अपवाद नहीं था।
हमने 12 जून से 19 जून, 2026 के बीच 200 से अधिक दुर्भावनापूर्ण पैकेजों की पुष्टि की, जिनमें से अधिकांश npm पर थे, और PyPI में भी कुछ मामले सामने आए। इनमें से कई समन्वित समूहों में पाए गए, जिनमें एक ही नाम से या निकट से संबंधित पैकेज परिवारों में बार-बार दुर्भावनापूर्ण रिलीज़ प्रकाशित की गई थीं।
इस सप्ताह का सबसे उल्लेखनीय मामला यह था: sensivityजिसने 2.5.x रेंज में 70 से अधिक संस्करणों वाली रिलीज़ के साथ npm को भर दिया, जिसकी पुष्टि कई दिनों में हुई। अन्य उल्लेखनीय क्लस्टरों में एक लहर शामिल थी। @solana-labs सोलाना पारिस्थितिकी तंत्र को निशाना बनाने वाले टाइपोस्क्वाट (web3.js, web3-js, etherjs, spl-toke, ancor, web3js (7 जून और 8 जून को दो अलग-अलग प्रकाशन अभियानों के माध्यम से), @nstrlabs परिवार (sdk, ixel, utils, shared-components, api-client, auth — आंतरिक पैकेज नेमस्पेस के विरुद्ध निर्भरता भ्रम हमला), @klapp-login-platform समूह (native-sdk, oidc, routes (प्रमाणीकरण प्लेटफ़ॉर्म का प्रतिरूपण करना) internallib_v557 और internallib_v984 (अस्पष्ट आंतरिक लाइब्रेरी के कई नकली संस्करण), pocteszep (11 जून को 6 संस्करण प्रकाशित हुए), और क्रिप्टो और वेब3 यूटिलिटीज का एक समूह जिसमें शामिल हैं blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, तथा farming-tools-12। morningstar-design-system 10 जून को एक पैकेज तीन संस्करणों में सामने आया, जो एक प्रसिद्ध वित्तीय डिजाइन प्रणाली का रूप धारण किए हुए था।
13 जून से गति तेज हो गई। houzidawang806 इस क्लस्टर ने अकेले एक ही दिन में 25 से अधिक संस्करण प्रकाशित किए, जिसमें अन्य संबंधित क्लस्टर भी शामिल थे। houzidawang807 और houzidawang808। metrics-pipeline-d8k2 15 जून से 18 जून के बीच इस पैकेज को लगातार 21 संस्करणों में पुनः प्रकाशित किया गया - यह ब्लॉकलिस्ट से आगे रहने के लिए चलाया गया एक निरंतर बचाव अभियान था। friendly-greeter-demo पैकेज पूरे सप्ताह विभिन्न संस्करणों में बार-बार प्रकट होता रहा। निर्भरता संबंधी भ्रम के नए प्रयास सामने आए। xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesऔर कई अन्य — सभी में 999.x रेंज में बढ़े हुए संस्करण संख्याएँ हैं। यादृच्छिक हेक्स प्रत्ययों के साथ सामान्य उपयोगिता नामों का एक नया समूह (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) 18-19 जून को दिखाई दिया, जो सुनियोजित सामूहिक पंजीकरण के अनुरूप था। सप्ताह का समापन इसके साथ हुआ। trimprompt, trimprompt-hub, claude-cup, तथा web3-crypto-address-utils 19 जून को PyPI में इसकी पुष्टि हुई। neuralbridge-sdk (4.5.x से 5.1.x तक के पांच संस्करण), deepstrain, teambot-ai, hello-test-s1, तथा aiaddin-agent सप्ताह भर में इनकी पुष्टि हुई।
ये कोई अलग-थलग घटनाएं नहीं थीं। इस सप्ताह जो बात सबसे ज़्यादा ध्यान खींचने वाली थी, वह थी आंतरिक पैकेज नेमस्पेस के विरुद्ध निर्भरता भ्रम हमलों की सघनता, कार्रवाई से बचने के लिए डिज़ाइन किए गए निरंतर बहु-दिवसीय प्रकाशन अभियान, वेब3 और डीएफ़आई टूलिंग को लगातार निशाना बनाना (एक ऐसा पैटर्न जिसमें 2026 में काफ़ी तेज़ी आई है), और सामान्य निर्भरता ट्री में घुलमिलकर पहचान से बचने के लिए डिज़ाइन किए गए सामान्य, शोर-जैसे पैकेज नामों का बढ़ता उपयोग।
यह साप्ताहिक स्नैपशॉट हमारे चल रहे मैलिशियस कोड डाइजेस्ट का हिस्सा है, जिसमें हम नए खतरों का सत्यापन करते हैं और डेवसेकऑप्स टीमों को उनकी सुरक्षा में मदद करने के लिए कार्रवाई योग्य जानकारी प्रदान करते हैं। pipelineनुकसान होने से पहले ही। आइए इस सप्ताह हमने जो पाया और यह क्यों महत्वपूर्ण है, इस पर विस्तार से चर्चा करें।
समन्वित अभियानों को आप तक पहुंचने न दें Pipelines
इस सप्ताह की रिपोर्ट किसी एक खतरे के बारे में नहीं थी; बल्कि इसके व्यापक पैमाने के बारे में थी। 200 से अधिक पुष्ट पैकेज, कई दिनों तक लगातार नए संस्करणों का प्रसार, और स्क्रिप्टेड बल्क रजिस्ट्रेशन अभियान जो मैन्युअल समीक्षाओं से भी तेज़ गति से चल रहे हैं। हमलावर आपके पिछड़ने का इंतज़ार नहीं कर रहे हैं।
Xygeni प्रारंभिक मैलवेयर पहचान यह npm, PyPI और अन्य रजिस्ट्रियों की लगातार निगरानी करता है और खतरों को प्रकाशन के समय ही चिह्नित करता है, न कि उनके बिल्ड में शामिल होने के बाद। जब कोई अभियान चार दिनों में एक ही दुर्भावनापूर्ण पैकेज के 21 संस्करण प्रकाशित करता है, तो साप्ताहिक स्कैन समय रहते कुछ भी पकड़ नहीं पाता।
ज़ाइगेनी का Open Source Security यह समाधान आपकी DevSecOps टीमों को वास्तविक समय में दृश्यता और प्राथमिकता प्रदान करता है, जिससे वे इस प्रकार के समन्वित दबाव से आगे रह सकें। pipelineअपनी टीम की गति धीमी किए बिना साफ-सफाई बनाए रखें।




