ಪ್ರತಿ ವಾರ, ನಮ್ಮ ಮಾಲ್ವೇರ್ ಪತ್ತೆ ವ್ಯವಸ್ಥೆಗಳು npm ಮತ್ತು PyPI ನಂತಹ ಸಾರ್ವಜನಿಕ ನೋಂದಣಿಗಳಲ್ಲಿ ಸಾವಿರಾರು ಹೊಸ ಮತ್ತು ನವೀಕರಿಸಿದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುತ್ತವೆ. ಈ ವಾರವೂ ಇದಕ್ಕೆ ಹೊರತಾಗಿರಲಿಲ್ಲ.
ಜೂನ್ 12t ಮತ್ತು ಜೂನ್ 19, 2026 ರ ನಡುವೆ, ಪ್ರಧಾನವಾಗಿ npm ನಲ್ಲಿ 200 ಕ್ಕೂ ಹೆಚ್ಚು ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ನಾವು ದೃಢಪಡಿಸಿದ್ದೇವೆ, PyPI ನಲ್ಲಿ ಹೆಚ್ಚುವರಿ ಪ್ರಕರಣಗಳು ಸೇರಿವೆ. ಹಲವಾರು ಸಂಘಟಿತ ಕ್ಲಸ್ಟರ್ಗಳಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡವು, ಅದೇ ಹೆಸರಿನಲ್ಲಿ ಅಥವಾ ನಿಕಟ ಸಂಬಂಧಿತ ಪ್ಯಾಕೇಜ್ ಕುಟುಂಬಗಳಲ್ಲಿ ಪ್ರಕಟವಾದ ಪುನರಾವರ್ತಿತ ದುರುದ್ದೇಶಪೂರಿತ ಬಿಡುಗಡೆಗಳು.
ಈ ವಾರದ ಪ್ರಮುಖ ಪ್ರಕರಣವೆಂದರೆ sensivity, ಇದು 2.5.x ಶ್ರೇಣಿಯಾದ್ಯಂತ 70 ಕ್ಕೂ ಹೆಚ್ಚು ಆವೃತ್ತಿಯ ಬಿಡುಗಡೆಗಳೊಂದಿಗೆ npm ಅನ್ನು ತುಂಬಿತು, ಇದು ಬಹು ದಿನಗಳಲ್ಲಿ ದೃಢಪಡಿಸಿತು. ಇತರ ಗಮನಾರ್ಹ ಕ್ಲಸ್ಟರ್ಗಳು ಒಂದು ಅಲೆಯನ್ನು ಒಳಗೊಂಡಿವೆ @solana-labs ಸೋಲಾನಾ ಪರಿಸರ ವ್ಯವಸ್ಥೆಯನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡು ಟೈಪೋಸ್ಕ್ವಾಟ್ಗಳು (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — ಜೂನ್ 7 ಮತ್ತು ಜೂನ್ 8 ರಂದು ಎರಡು ಪ್ರತ್ಯೇಕ ಪ್ರಕಾಶನ ಅಭಿಯಾನಗಳಲ್ಲಿ), ದಿ @nstrlabs ಕುಟುಂಬ (sdk, ixel, utils, shared-components, api-client, auth — ಆಂತರಿಕ ಪ್ಯಾಕೇಜ್ ನೇಮ್ಸ್ಪೇಸ್ ವಿರುದ್ಧ ಅವಲಂಬನೆ ಗೊಂದಲ ದಾಳಿ), ದಿ @klapp-login-platform ಗುಂಪು (native-sdk, oidc, routes — ದೃಢೀಕರಣ ವೇದಿಕೆಯಂತೆ ನಟಿಸುವುದು), internallib_v557 ಮತ್ತು internallib_v984 (ಅಸ್ಪಷ್ಟ ಆಂತರಿಕ ಗ್ರಂಥಾಲಯ ವಂಚಕರ ಬಹು ಆವೃತ್ತಿಗಳು), pocteszep (ಜೂನ್ 11 ರಂದು ಪ್ರಕಟವಾದ 6 ಆವೃತ್ತಿಗಳು), ಮತ್ತು ಕ್ರಿಪ್ಟೋ ಮತ್ತು ವೆಬ್3 ಉಪಯುಕ್ತತೆಗಳ ಕ್ಲಸ್ಟರ್ ಸೇರಿದಂತೆ blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, ಮತ್ತು farming-tools-12. ದಿ morningstar-design-system ಜೂನ್ 10 ರಂದು ಪ್ಯಾಕೇಜ್ ಮೂರು ಆವೃತ್ತಿಗಳಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡಿತು, ಇದು ಪ್ರಸಿದ್ಧ ಹಣಕಾಸು ವಿನ್ಯಾಸ ವ್ಯವಸ್ಥೆಯನ್ನು ಅನುಕರಿಸುತ್ತದೆ.
ಜೂನ್ 13 ರಿಂದ, ವೇಗವು ವೇಗಗೊಂಡಿತು. houzidawang806 ಒಂದೇ ದಿನದಲ್ಲಿ ಕ್ಲಸ್ಟರ್ ಮಾತ್ರ 25 ಕ್ಕೂ ಹೆಚ್ಚು ಆವೃತ್ತಿಗಳನ್ನು ಪ್ರಕಟಿಸಿದೆ, ಇದರಲ್ಲಿ ಸಹೋದರರು ಸೇರಿದ್ದಾರೆ. houzidawang807 ಮತ್ತು houzidawang808. ದಿ metrics-pipeline-d8k2 ಜೂನ್ 15 ಮತ್ತು ಜೂನ್ 18 ರ ನಡುವೆ 21 ಆವೃತ್ತಿಗಳಲ್ಲಿ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ನಿರಂತರವಾಗಿ ಮರುಪ್ರಕಟಿಸಲಾಯಿತು - ಬ್ಲಾಕ್ಲಿಸ್ಟ್ಗಳಿಗಿಂತ ಮುಂದೆ ಇರಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ನಿರಂತರ ತಪ್ಪಿಸಿಕೊಳ್ಳುವ ಅಭಿಯಾನ. friendly-greeter-demo ವಾರವಿಡೀ ಆವೃತ್ತಿಗಳಲ್ಲಿ ಪ್ಯಾಕೇಜ್ ಮತ್ತೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತಲೇ ಇತ್ತು. ಹೊಸ ಅವಲಂಬನೆ ಗೊಂದಲ ಪ್ರಯತ್ನಗಳು ಹೊರಹೊಮ್ಮಿದವು xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, ಮತ್ತು ಹಲವಾರು ಇತರವುಗಳು - ಎಲ್ಲವೂ 999.x ಶ್ರೇಣಿಯಲ್ಲಿ ಉಬ್ಬಿಕೊಂಡಿರುವ ಆವೃತ್ತಿ ಸಂಖ್ಯೆಗಳನ್ನು ಹೊಂದಿವೆ. ಯಾದೃಚ್ಛಿಕ ಹೆಕ್ಸ್ ಪ್ರತ್ಯಯಗಳೊಂದಿಗೆ ಜೆನೆರಿಕ್ ಉಪಯುಕ್ತತೆಯ ಹೆಸರುಗಳ ಹೊಸ ಕ್ಲಸ್ಟರ್ (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) ಜೂನ್ 18–19 ರಂದು ಕಾಣಿಸಿಕೊಂಡಿತು, ಇದು ಸ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಬೃಹತ್ ನೋಂದಣಿಗೆ ಅನುಗುಣವಾಗಿದೆ. ವಾರವು ಇದರೊಂದಿಗೆ ಮುಕ್ತಾಯವಾಯಿತು trimprompt, trimprompt-hub, claude-cup, ಮತ್ತು web3-crypto-address-utils ಜೂನ್ 19 ರಂದು ದೃಢಪಡಿಸಲಾಗಿದೆ. PyPI ನಲ್ಲಿ, neuralbridge-sdk (4.5.x–5.1.x ನಲ್ಲಿ ಐದು ಆವೃತ್ತಿಗಳು), deepstrain, teambot-ai, hello-test-s1, ಮತ್ತು aiaddin-agent ವಾರವಿಡೀ ದೃಢೀಕರಿಸಲ್ಪಟ್ಟವು.
ಇವು ಪ್ರತ್ಯೇಕವಾದ ವೈಪರೀತ್ಯಗಳಲ್ಲ. ಈ ವಾರ ಎದ್ದು ಕಾಣುವ ವಿಷಯವೆಂದರೆ ಆಂತರಿಕ ಪ್ಯಾಕೇಜ್ ನೇಮ್ಸ್ಪೇಸ್ಗಳ ವಿರುದ್ಧ ಅವಲಂಬನೆ ಗೊಂದಲ ದಾಳಿಗಳ ಸಾಂದ್ರತೆ, ತೆಗೆದುಹಾಕುವಿಕೆಗಳನ್ನು ಮೀರಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ನಿರಂತರ ಬಹು-ದಿನದ ಪ್ರಕಾಶನ ಅಭಿಯಾನಗಳು, Web3 ಮತ್ತು DeFi ಪರಿಕರಗಳ ನಿರಂತರ ಗುರಿ (2026 ರಲ್ಲಿ ಗಮನಾರ್ಹವಾಗಿ ವೇಗಗೊಂಡ ಮಾದರಿ), ಮತ್ತು ಸಾಮಾನ್ಯ ಅವಲಂಬನೆ ಮರಗಳಲ್ಲಿ ಮಿಶ್ರಣ ಮಾಡುವ ಮೂಲಕ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ತಪ್ಪಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಸಾಮಾನ್ಯ, ಶಬ್ದ-ತರಹದ ಪ್ಯಾಕೇಜ್ ಹೆಸರುಗಳ ಹೆಚ್ಚುತ್ತಿರುವ ಬಳಕೆ.
ಈ ಸಾಪ್ತಾಹಿಕ ಸ್ನ್ಯಾಪ್ಶಾಟ್ ನಮ್ಮ ನಡೆಯುತ್ತಿರುವ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಡೈಜೆಸ್ಟ್ನ ಭಾಗವಾಗಿದೆ, ಅಲ್ಲಿ ನಾವು ಹೊಸ ಬೆದರಿಕೆಗಳನ್ನು ಮೌಲ್ಯೀಕರಿಸುತ್ತೇವೆ ಮತ್ತು DevSecOps ತಂಡಗಳು ತಮ್ಮ pipelineಹಾನಿ ಸಂಭವಿಸುವ ಮೊದಲು ರು. ಈ ವಾರ ನಾವು ಕಂಡುಕೊಂಡದ್ದನ್ನು ಮತ್ತು ಅದು ಏಕೆ ಮುಖ್ಯವಾಗಿದೆ ಎಂಬುದನ್ನು ವಿವರಿಸೋಣ.
ಸಂಘಟಿತ ಅಭಿಯಾನಗಳು ನಿಮ್ಮನ್ನು ತಲುಪಲು ಬಿಡಬೇಡಿ Pipelines
ಈ ವಾರದ ಡೈಜೆಸ್ಟ್ ಒಂದೇ ಬೆದರಿಕೆಯ ಬಗ್ಗೆ ಅಲ್ಲ; ಅದು ಪ್ರಮಾಣದ ಬಗ್ಗೆ. 200 ಕ್ಕೂ ಹೆಚ್ಚು ದೃಢಪಡಿಸಿದ ಪ್ಯಾಕೇಜ್ಗಳು, ಬಹು ದಿನಗಳಲ್ಲಿ ನಿರಂತರ ಆವೃತ್ತಿಯ ಪ್ರವಾಹ, ಮತ್ತು ಹಸ್ತಚಾಲಿತ ವಿಮರ್ಶೆಗಳು ಟ್ರ್ಯಾಕ್ ಮಾಡುವುದಕ್ಕಿಂತ ವೇಗವಾಗಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಸ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಬೃಹತ್ ನೋಂದಣಿ ಅಭಿಯಾನಗಳು. ದಾಳಿಕೋರರು ನೀವು ಹಿಡಿಯಲು ಕಾಯುತ್ತಿಲ್ಲ.
ಕ್ಸಿಜೆನಿ ಆರಂಭಿಕ ಮಾಲ್ವೇರ್ ಪತ್ತೆ npm, PyPI ಮತ್ತು ಇತರ ನೋಂದಾವಣೆಗಳನ್ನು ನಿರಂತರವಾಗಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತದೆ, ಪ್ರಕಟಣೆಯ ಕ್ಷಣದಲ್ಲಿ ಬೆದರಿಕೆಗಳನ್ನು ಫ್ಲ್ಯಾಗ್ ಮಾಡುತ್ತದೆ, ಅವು ಬಿಲ್ಡ್ನಲ್ಲಿ ಇಳಿದ ನಂತರ ಅಲ್ಲ. ಒಂದು ಅಭಿಯಾನವು ನಾಲ್ಕು ದಿನಗಳಲ್ಲಿ ಒಂದೇ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ನ 21 ಆವೃತ್ತಿಗಳನ್ನು ಪ್ರಕಟಿಸಿದಾಗ, ವಾರದ ಸ್ಕ್ಯಾನ್ ಸಮಯಕ್ಕೆ ಏನನ್ನೂ ಹಿಡಿಯುವುದಿಲ್ಲ.
ಕ್ಸಿಜೆನಿ Open Source Security ಪರಿಹಾರವು ನಿಮ್ಮ DevSecOps ತಂಡಗಳಿಗೆ ಈ ರೀತಿಯ ಸಂಘಟಿತ ಒತ್ತಡಕ್ಕಿಂತ ಮುಂದೆ ಇರಲು ಅಗತ್ಯವಿರುವ ನೈಜ-ಸಮಯದ ಗೋಚರತೆ ಮತ್ತು ಆದ್ಯತೆಯನ್ನು ನೀಡುತ್ತದೆ, ಆದ್ದರಿಂದ ನಿಮ್ಮ pipelineನಿಮ್ಮ ತಂಡಗಳನ್ನು ನಿಧಾನಗೊಳಿಸದೆ ಸ್ವಚ್ಛವಾಗಿರಿ.




