ಬಹುತೇಕ ಪ್ರತಿ ವಾರ, ನಮ್ಮ ಮಾಲ್ವೇರ್ ಪತ್ತೆ ವ್ಯವಸ್ಥೆಗಳು npm ಮತ್ತು PyPI ನಂತಹ ಸಾರ್ವಜನಿಕ ನೋಂದಣಿಗಳಲ್ಲಿ ಸಾವಿರಾರು ಹೊಸ ಮತ್ತು ನವೀಕರಿಸಿದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುತ್ತವೆ. ಈ ವಾರವೂ ಇದಕ್ಕೆ ಹೊರತಾಗಿರಲಿಲ್ಲ.
ಜೂನ್ 7 ಮತ್ತು ಜೂನ್ 12, 2026 ರ ನಡುವೆ ನಾವು 130 ಕ್ಕೂ ಹೆಚ್ಚು ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ದೃಢಪಡಿಸಿದ್ದೇವೆ, ಮುಖ್ಯವಾಗಿ npm ನಲ್ಲಿ, PyPI ನಲ್ಲಿ ಹೆಚ್ಚುವರಿ ಪ್ರಕರಣಗಳು ಸೇರಿವೆ. ಹಲವಾರು ಸಂಘಟಿತ ಕ್ಲಸ್ಟರ್ಗಳಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡವು, ಅದೇ ಹೆಸರಿನಲ್ಲಿ ಅಥವಾ ನಿಕಟ ಸಂಬಂಧಿತ ಪ್ಯಾಕೇಜ್ ಕುಟುಂಬಗಳಲ್ಲಿ ಪ್ರಕಟವಾದ ಪುನರಾವರ್ತಿತ ದುರುದ್ದೇಶಪೂರಿತ ಬಿಡುಗಡೆಗಳು.
ಈ ವಾರದ ಪ್ರಮುಖ ಪ್ರಕರಣವೆಂದರೆ sensivity, ಇದು 2.5.x ಶ್ರೇಣಿಯಾದ್ಯಂತ 40 ಕ್ಕೂ ಹೆಚ್ಚು ಆವೃತ್ತಿಯ ಬಿಡುಗಡೆಗಳೊಂದಿಗೆ npm ಅನ್ನು ತುಂಬಿತು, ಇದು ಬಹು ದಿನಗಳಲ್ಲಿ ದೃಢಪಡಿಸಿತು. ಇತರ ಗಮನಾರ್ಹ ಕ್ಲಸ್ಟರ್ಗಳು ಒಂದು ಅಲೆಯನ್ನು ಒಳಗೊಂಡಿವೆ @solana-labs ಸೋಲಾನಾ ಪರಿಸರ ವ್ಯವಸ್ಥೆಯನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡು ಟೈಪೋಸ್ಕ್ವಾಟ್ಗಳು (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — ಜೂನ್ 7 ಮತ್ತು ಜೂನ್ 8 ರಂದು ಎರಡು ಪ್ರತ್ಯೇಕ ಪ್ರಕಾಶನ ಅಭಿಯಾನಗಳಲ್ಲಿ), @nstrlabs ಕುಟುಂಬ (sdk, ixel, utils, shared-components, api-client, auth — ಆಂತರಿಕ ಪ್ಯಾಕೇಜ್ ನೇಮ್ಸ್ಪೇಸ್ ವಿರುದ್ಧ ಅವಲಂಬನೆ ಗೊಂದಲ ದಾಳಿ), ದಿ @klapp-login-platform ಗುಂಪು (ಸ್ಥಳೀಯ-sdk, oidc, ಮಾರ್ಗಗಳು - ದೃಢೀಕರಣ ವೇದಿಕೆಯನ್ನು ಅನುಕರಿಸಲಾಗುತ್ತಿದೆ), internallib_v557 ಮತ್ತು internallib_v984 (ಅಸ್ಪಷ್ಟ ಆಂತರಿಕ ಗ್ರಂಥಾಲಯ ವಂಚಕರ ಬಹು ಆವೃತ್ತಿಗಳು), pocteszep (ಜೂನ್ 11 ರಂದು ಪ್ರಕಟವಾದ 6 ಆವೃತ್ತಿಗಳು), ಮತ್ತು ಕ್ರಿಪ್ಟೋ ಮತ್ತು ವೆಬ್3 ಉಪಯುಕ್ತತೆಗಳ ಕ್ಲಸ್ಟರ್ ಸೇರಿದಂತೆ blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, ಮತ್ತು farming-tools-12. ದಿ morningstar-design-system ಜೂನ್ 10 ರಂದು ಪ್ಯಾಕೇಜ್ ಮೂರು ಆವೃತ್ತಿಗಳಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡಿತು, ಇದು ಪ್ರಸಿದ್ಧ ಹಣಕಾಸು ವಿನ್ಯಾಸ ವ್ಯವಸ್ಥೆಯನ್ನು ಅನುಕರಿಸುತ್ತದೆ. PyPI ನಲ್ಲಿ, helixagentai, telegramlite, ಮತ್ತು cdjeez ವಾರವಿಡೀ ದೃಢೀಕರಿಸಲ್ಪಟ್ಟವು.
ಇವು ಪ್ರತ್ಯೇಕವಾದ ವೈಪರೀತ್ಯಗಳಲ್ಲ. ಈ ವಾರ ಎದ್ದು ಕಾಣುವ ಅಂಶವೆಂದರೆ ಆಂತರಿಕ ಪ್ಯಾಕೇಜ್ ನೇಮ್ಸ್ಪೇಸ್ಗಳ ವಿರುದ್ಧ ಅವಲಂಬನೆ ಗೊಂದಲ ದಾಳಿಗಳ ಸಾಂದ್ರತೆ, ನಿರಂತರ ಬಹು-ದಿನದ ಪ್ರಕಟಣೆ sensivity ಕ್ಲಸ್ಟರ್, ಮತ್ತು Web3 ಮತ್ತು ಸೋಲಾನಾ ಪರಿಕರಗಳ ನಿರಂತರ ಗುರಿ, 2026 ರಲ್ಲಿ ಗಮನಾರ್ಹವಾಗಿ ವೇಗಗೊಂಡ ಮಾದರಿ.
ಈ ಸಾಪ್ತಾಹಿಕ ಸ್ನ್ಯಾಪ್ಶಾಟ್ ನಮ್ಮ ನಡೆಯುತ್ತಿರುವ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಡೈಜೆಸ್ಟ್ನ ಭಾಗವಾಗಿದೆ, ಅಲ್ಲಿ ನಾವು ಹೊಸ ಬೆದರಿಕೆಗಳನ್ನು ಮೌಲ್ಯೀಕರಿಸುತ್ತೇವೆ ಮತ್ತು DevSecOps ತಂಡಗಳು ತಮ್ಮ pipelineಹಾನಿ ಸಂಭವಿಸುವ ಮೊದಲು.
ಈ ವಾರ ನಾವು ಕಂಡುಕೊಂಡದ್ದನ್ನು ಮತ್ತು ಅದು ಏಕೆ ಮುಖ್ಯ ಎಂಬುದನ್ನು ವಿವರಿಸೋಣ.
ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ಗಳು ಉತ್ಪಾದನೆಯನ್ನು ತಲುಪಲು ಬಿಡಬೇಡಿ.
ನಿಮ್ಮ ತಂಡಗಳು ಅವಲಂಬಿಸಿರುವ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಪ್ರವೇಶ ಬಿಂದುವಾಗಿ ಹೆಚ್ಚಾಗಿ ಬಳಸಲಾಗುತ್ತಿದೆ. ಕ್ಸಿಜೆನಿ ಆರಂಭಿಕ ಮಾಲ್ವೇರ್ ಪತ್ತೆ ನೈಜ ಸಮಯದಲ್ಲಿ ನೋಂದಣಿಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತದೆ, ಆದ್ದರಿಂದ ಈ ವಾರದ ಡೈಜೆಸ್ಟ್ನಲ್ಲಿರುವಂತಹ ಬೆದರಿಕೆಗಳು ನಿಮ್ಮ ಬಿಲ್ಡ್ಗಳನ್ನು ತಲುಪುವ ಮೊದಲೇ ನಿರ್ಬಂಧಿಸಲ್ಪಡುತ್ತವೆ.
ಈ ವಾರದ ಸಂಶೋಧನೆಗಳು ತಂತ್ರಗಳು ಹೆಚ್ಚು ಉದ್ದೇಶಪೂರ್ವಕವಾಗುತ್ತಿವೆ ಎಂಬುದನ್ನು ನೆನಪಿಸುತ್ತವೆ. ಆವೃತ್ತಿ ಪ್ರವಾಹ, ನೇಮ್ಸ್ಪೇಸ್ ಅನುಕರಣೆ ಮತ್ತು ಬಹು-ದಿನಗಳ ಸಂಯೋಜಿತ ಅಭಿಯಾನಗಳು ಇನ್ನು ಮುಂದೆ ಅತ್ಯಾಧುನಿಕ ಪ್ರಕರಣಗಳಲ್ಲ, ಅವು standard ಆಕ್ರಮಣಕಾರರ ಪ್ಲೇಬುಕ್. ಒಂದು ಬಾರಿಯ ಸ್ಕ್ಯಾನ್ಗಳು ಮತ್ತು ಹಸ್ತಚಾಲಿತ ಆಡಿಟ್ಗಳು ಬಹು ದಿನಗಳು ಮತ್ತು ನೋಂದಣಿಗಳಲ್ಲಿ ಏಕಕಾಲದಲ್ಲಿ ಡಜನ್ಗಟ್ಟಲೆ ಆವೃತ್ತಿಗಳನ್ನು ಪ್ರಕಟಿಸುವ ಅಭಿಯಾನಗಳೊಂದಿಗೆ ವೇಗವನ್ನು ಹೊಂದಲು ಸಾಧ್ಯವಿಲ್ಲ.
ಕ್ಸಿಜೆನಿ Open Source Security ಪರಿಹಾರವು ನಿಮ್ಮ DevSecOps ತಂಡಗಳಿಗೆ npm, PyPI ಮತ್ತು ಅದರಾಚೆಗೆ ನಿರಂತರ ಗೋಚರತೆಯನ್ನು ನೀಡುತ್ತದೆ, ಪ್ರಕಟಣೆಯ ಕ್ಷಣದಲ್ಲಿ ಹಾನಿಕಾರಕ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುತ್ತದೆ, ನಿಜವಾದ ಶೋಷಣೆಗೆ ಒಳಪಡುವ ಅಪಾಯವನ್ನುಂಟುಮಾಡುವದನ್ನು ಆದ್ಯತೆ ನೀಡುತ್ತದೆ ಮತ್ತು ಪತ್ತೆಹಚ್ಚುವಿಕೆಯಿಂದ ಪರಿಹಾರದವರೆಗಿನ ಮಾರ್ಗವನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ. ಆದ್ದರಿಂದ ನಿಮ್ಮ ತಂಡಗಳು ಭದ್ರತೆಯಲ್ಲಿ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳದೆ ವೇಗವಾಗಿ ರವಾನಿಸಬಹುದು.




