മിക്കവാറും എല്ലാ ആഴ്ചയും, ഞങ്ങളുടെ മാൽവെയർ കണ്ടെത്തൽ സംവിധാനങ്ങൾ npm, PyPI പോലുള്ള പൊതു രജിസ്ട്രികളിലുടനീളം ആയിരക്കണക്കിന് പുതിയതും അപ്ഡേറ്റ് ചെയ്തതുമായ പാക്കേജുകൾ സ്കാൻ ചെയ്യുന്നു. ഈ ആഴ്ച വളരെ സജീവമായിരുന്നു.
ഞങ്ങൾ സ്ഥിരീകരിച്ചു 198 ക്ഷുദ്ര പാക്കേജുകൾ, പ്രാഥമികമായി npm-ൽ ഉടനീളം, PyPI, OpenVSX, കമ്പോസർ, VS കോഡ് എക്സ്റ്റൻഷനുകളിൽ അധിക കേസുകൾ ഉണ്ടായിരുന്നു. പലതും കോർഡിനേറ്റഡ് ക്ലസ്റ്ററുകളിൽ പ്രത്യക്ഷപ്പെട്ടു, ഒരേ പേരുകളിലോ അടുത്ത ബന്ധമുള്ള പാക്കേജ് കുടുംബങ്ങളിലോ ആവർത്തിച്ചുള്ള ക്ഷുദ്രകരമായ റിലീസുകൾ പ്രസിദ്ധീകരിച്ചു. ഒരു ശ്രദ്ധേയമായ കേസ് ആയിരുന്നു sensivity 2.5.x ശ്രേണിയിലുടനീളമുള്ള 60-ലധികം പതിപ്പുകളുള്ള npm പാക്കേജ്. മറ്റ് ശ്രദ്ധേയമായ ക്ലസ്റ്ററുകളും ഇതിൽ ഉൾപ്പെടുന്നു. ai-sdk-helpers (AI ഡെവലപ്പർമാരെ ലക്ഷ്യം വച്ചുള്ള 8 പതിപ്പുകൾ), @antoncallahan/aws-user-helper (ഒരു AWS യൂട്ടിലിറ്റി അനുകരിക്കുന്ന 7 പതിപ്പുകൾ), @apple-pay-trust ഒപ്പം @google-pay-trust കുടുംബങ്ങൾ (പേയ്മെന്റ് ചെക്ക്ഔട്ട് മൊഡ്യൂളുകൾ അനുകരിക്കൽ), @frengki0707/google-cloud-clone (Google ക്ലൗഡിനെ കബളിപ്പിക്കുന്ന 5 പതിപ്പുകൾ), കൂടാതെ cms-storehub, cms-helpgit, ഒപ്പം cms-github (CMS ലക്ഷ്യമിടുന്നത് pipelines). പല പാക്കേജുകളും പേയ്മെന്റ്, ചെക്ക്ഔട്ട് മൊഡ്യൂളുകളെ അനുകരിച്ചു, enterprise ഇന്റേണൽ വെബ് പാക്കേജുകൾ, അനലിറ്റിക്സ് ക്ലയന്റുകൾ, UI ഫൗണ്ടേഷനുകൾ, ഡെവലപ്പർ യൂട്ടിലിറ്റികൾ, ഘടക എക്സ്പ്ലോററുകൾ, ക്ലൗഡ്-, ഗൂഗിൾ-തീം പാക്കേജുകൾ, ആധുനിക വികസന വർക്ക്ഫ്ലോകളിൽ സാധാരണയായി വിശ്വസിക്കപ്പെടുന്ന മറ്റ് മൊഡ്യൂളുകൾ എന്നിവ ഇതിൽ ഉൾപ്പെടുന്നു.
ഇവ ഒറ്റപ്പെട്ട അപാകതകളായിരുന്നില്ല. ഒരേ പാക്കേജ് കുടുംബങ്ങളിൽ ആവർത്തിച്ചുള്ള പ്രസിദ്ധീകരണത്തിന്റെ വ്യാപ്തി, നാമകരണ പാറ്റേണുകളുടെ പുനരുപയോഗം, യഥാർത്ഥ സോഫ്റ്റ്വെയർ ഡെലിവറിയിൽ നിയമാനുസൃതമായ ആശ്രിതത്വങ്ങളായി തോന്നിപ്പിക്കുന്നതിന് ക്ഷുദ്രകരമായ പാക്കേജുകൾ മറച്ചുവെച്ച രീതി എന്നിവയാണ് ഈ ആഴ്ച ശ്രദ്ധേയമായത്. pipelines.
ഈ പ്രതിവാര സ്നാപ്പ്ഷോട്ട് ഞങ്ങളുടെ നിലവിലുള്ള മാലിഷ്യസ് കോഡ് ഡൈജസ്റ്റിന്റെ ഭാഗമാണ്, അവിടെ ഞങ്ങൾ പുതിയ ഭീഷണികളെ സാധൂകരിക്കുകയും DevSecOps ടീമുകളെ അവരുടെ സുരക്ഷ ഉറപ്പാക്കാൻ സഹായിക്കുന്നതിന് പ്രവർത്തനക്ഷമമായ ഇന്റലിജൻസ് നൽകുകയും ചെയ്യുന്നു. pipelineകേടുപാടുകൾ സംഭവിക്കുന്നതിന് മുമ്പ്.
ഈ ആഴ്ച നമ്മൾ എന്താണ് കണ്ടെത്തിയതെന്നും അത് എന്തുകൊണ്ട് പ്രധാനമാണെന്നും നമുക്ക് വിശകലനം ചെയ്യാം.
| പരിസ്ഥിതി വ്യവസ്ഥ | പാക്കേജ് | തീയതി |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | May 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | May 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | May 30, 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | May 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | May 30, 2026 |
| npm | @എളുപ്പ പ്രവേശനം/റൂട്ടുകൾ:99.9.5 | May 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | May 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | May 30, 2026 |
| vcode | xampp-മാനേജർ:5.1.3 | May 30, 2026 |
| npm | @chat-template/auth:1.0.0 | May 31, 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 (ജെസൺ-സിമ്പിൾ-ഗ്രാഫ്-സ്കീമയിൽ നിന്ന്) | ജൂൺ 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | ജൂൺ 1, 2026 |
| npm | നെമോ-റിപ്പോർട്ടർ:1.8.2 | ജൂൺ 1, 2026 |
| npm | cms-ഗിത്തബ്:4.2.4 | ജൂൺ 1, 2026 |
| npm | cms-ഹെൽപ്പ്ഗിറ്റ്:4.2.6 | ജൂൺ 1, 2026 |
| npm | cms-ഹെൽപ്പ്ഗിറ്റ്:4.2.8 | ജൂൺ 1, 2026 |
| npm | cms-സ്റ്റോർഹബ്:1.3.4 | ജൂൺ 1, 2026 |
| npm | cms-സ്റ്റോർഹബ്:1.3.5 | ജൂൺ 1, 2026 |
| npm | cms-സ്റ്റോർഹബ്:1.3.6 | ജൂൺ 1, 2026 |
| പൈപി | സിംടൂറിയൽ-ക്ലൈ:0.3.0 | ജൂൺ 1, 2026 |
| npm | റീട്ടെയിൽ-ലൊക്കേഷൻ-സ്ട്രാറ്റജി-ഫ്രണ്ട്എൻഡ്:1.1.1 | ജൂൺ 1, 2026 |
| npm | റീട്ടെയിൽ-ലൊക്കേഷൻ-സ്ട്രാറ്റജി-ഫ്രണ്ട്എൻഡ്:1.1.2 | ജൂൺ 1, 2026 |
| npm | സംഭാഷണ-എസ്ഡികെ:2.0.2 | ജൂൺ 1, 2026 |
| npm | വെൽട്രിക്സ്:9.0.0 | ജൂൺ 1, 2026 |
| npm | വെൽട്രിക്സ്:9.0.1 | ജൂൺ 1, 2026 |
| npm | ജിംഗ്മെഇദെഷിഷി:1.0.4 | ജൂൺ 1, 2026 |
| npm | ജിംഗ്മെഇദെഷിഷി:1.0.5 | ജൂൺ 1, 2026 |
| npm | @tse-ഡിജിറ്റൽ/കോർ:99.0.0 | ജൂൺ 1, 2026 |
| npm | @telenor-se/കോർ:99.0.0 | ജൂൺ 1, 2026 |
| npm | @ownit/കോർ:99.0.0 | ജൂൺ 1, 2026 |
| npm | രോഗി രേഖകൾ:75.0.0 | ജൂൺ 1, 2026 |
| npm | @antoncallahan/aws-ഉപയോക്തൃ-സഹായി:6767.67.69 | ജൂൺ 1, 2026 |
| npm | @antoncallahan/aws-ഉപയോക്തൃ-സഹായി:6767.67.68 | ജൂൺ 1, 2026 |
| npm | @antoncallahan/aws-ഉപയോക്തൃ-സഹായി:6767.67.82 | ജൂൺ 1, 2026 |
| npm | @antoncallahan/aws-ഉപയോക്തൃ-സഹായി:6767.67.80 | ജൂൺ 1, 2026 |
| npm | @antoncallahan/aws-ഉപയോക്തൃ-സഹായി:6767.67.81 | ജൂൺ 1, 2026 |
| npm | @antoncallahan/aws-ഉപയോക്തൃ-സഹായി:6767.67.83 | ജൂൺ 1, 2026 |
| npm | @antoncallahan/aws-ഉപയോക്തൃ-സഹായി:6767.67.3 | ജൂൺ 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | ജൂൺ 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | ജൂൺ 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.8 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.12 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.16 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.17 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.18 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.19 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.20 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.21 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.22 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.23 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.24 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.25 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.26 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.27 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.28 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.29 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.30 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.31 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.32 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.41 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.42 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.43 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.44 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.45 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.46 | ജൂൺ 2, 2026 |
| npm | മിയൂ-യുഐ-ഹെൽപ്പർമാർ:1.0.1 | ജൂൺ 2, 2026 |
| npm | @langgraphjs/ടൂൾകിറ്റ്:1.2.10 | ജൂൺ 2, 2026 |
| npm | ഐവോക്സ്:9.0.1 | ജൂൺ 2, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.53 | ജൂൺ 3, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.54 | ജൂൺ 3, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.55 | ജൂൺ 3, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.56 | ജൂൺ 3, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.57 | ജൂൺ 3, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.61 | ജൂൺ 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | ജൂൺ 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | ജൂൺ 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | ജൂൺ 4, 2026 |
| npm | ഫണ്ട്റൈസർസെർവ്:1.0.0 | ജൂൺ 4, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.67 | ജൂൺ 4, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.68 | ജൂൺ 4, 2026 |
| npm | vg-ഇന്ററാക്ഷൻ-മോഡൽ:40.0.5 | ജൂൺ 4, 2026 |
| npm | ഇന്റേണൽലിബ്_വി346:1.0.3 | ജൂൺ 4, 2026 |
| npm | ഇന്റേണൽലിബ്_വി346:1.0.5 | ജൂൺ 4, 2026 |
| npm | ഇന്റേണൽലിബ്_വി346:1.0.9 | ജൂൺ 4, 2026 |
| npm | ai-sdk-ഹെൽപ്പർമാർ:0.2.1 | ജൂൺ 4, 2026 |
| npm | ai-sdk-ഹെൽപ്പർമാർ:0.3.0 | ജൂൺ 4, 2026 |
| npm | ai-sdk-ഹെൽപ്പർമാർ:0.3.1 | ജൂൺ 4, 2026 |
| npm | ai-sdk-ഹെൽപ്പർമാർ:1.1.0 | ജൂൺ 4, 2026 |
| npm | ai-sdk-ഹെൽപ്പർമാർ:1.1.1 | ജൂൺ 4, 2026 |
| npm | ai-sdk-ഹെൽപ്പർമാർ:1.3.0 | ജൂൺ 4, 2026 |
| npm | ai-sdk-ഹെൽപ്പർമാർ:1.4.0 | ജൂൺ 4, 2026 |
| npm | ai-sdk-ഹെൽപ്പർമാർ:1.4.2 | ജൂൺ 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | ജൂൺ 4, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.0 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.1 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.2 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.3 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.4 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.5 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.13 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.14 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.15 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.33 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.34 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.35 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.36 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.37 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.38 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.58 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.59 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.60 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.62 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.63 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.64 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.65 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.66 | ജൂൺ 5, 2026 |
| npm | സെൻസിറ്റിവിറ്റി:2.5.69 | ജൂൺ 5, 2026 |
അപകടസാധ്യതകളിൽ നിന്നും ക്ഷുദ്ര കോഡിൽ നിന്നും നിങ്ങളുടെ ഓപ്പൺ സോഴ്സ് ആശ്രിതത്വങ്ങൾ സുരക്ഷിതമാക്കുക
ദോഷകരമായ പാക്കേജുകൾ നിങ്ങളുടെ കൈകളിൽ എത്താൻ അനുവദിക്കരുത്. pipelines. Xygeni മാൽവെയർ നേരത്തേ കണ്ടെത്തൽ നിങ്ങളുടെ ടീമിന് ഏറ്റവും പ്രധാനപ്പെട്ട ഭീഷണികളെക്കുറിച്ച് തത്സമയം ദൃശ്യപരത നൽകുന്നു, ദോഷകരമായ ആശ്രിതത്വങ്ങൾ നിങ്ങളുടെ സോഫ്റ്റ്വെയറിൽ സ്പർശിക്കുന്നതിന് മുമ്പ് തന്നെ കണ്ടെത്തുന്നു.
ഈ ആഴ്ചയിലെ ഡൈജസ്റ്റ് വ്യക്തമാക്കുന്നത് പോലെ, ക്ഷുദ്ര പാക്കേജ് കാമ്പെയ്നുകളുടെ വ്യാപ്തിയും സങ്കീർണ്ണതയും കുറയുന്നില്ല. ഏകോപിത പതിപ്പ് വെള്ളപ്പൊക്കം, പേയ്മെന്റ് മൊഡ്യൂൾ ആൾമാറാട്ടം, ആന്തരികമായി ശബ്ദമുള്ള പാക്കേജ് പേരുകൾ എന്നിവ ആക്രമണകാരികൾ കടന്നുപോകാൻ ഉപയോഗിക്കുന്ന ചില തന്ത്രങ്ങൾ മാത്രമാണ്. standard പ്രതിരോധങ്ങൾ. ഈ ഭീഷണികളെ നേരിടാൻ ആനുകാലിക ഓഡിറ്റുകളേക്കാൾ കൂടുതൽ ആവശ്യമാണ്, നിങ്ങളുടെ ടീമുകൾ ആശ്രയിക്കുന്ന എല്ലാ രജിസ്ട്രികളിലും തുടർച്ചയായ നിരീക്ഷണം ഇതിന് ആവശ്യമാണ്.
സൈജെനിസ് Open Source Security പ്രസിദ്ധീകരണ ഘട്ടത്തിൽ, npm, PyPI, അതിനുമപ്പുറം എന്നിവയിലുടനീളം, സൊല്യൂഷൻ സ്കാൻ ചെയ്യുകയും ദോഷകരമായ പാക്കേജുകൾ തടയുകയും ചെയ്യുന്നു. യഥാർത്ഥ ലോകത്തിലെ ഏറ്റവും വലിയ അപകടസാധ്യത സൃഷ്ടിക്കുന്ന ദുർബലതകൾക്ക് സന്ദർഭോചിതമായി മുൻഗണന നൽകുന്നതിലൂടെ (നിങ്ങളുടെ DevSecOps ടീമുകൾക്കുള്ള പരിഹാര പാത കാര്യക്ഷമമാക്കുന്നതിലൂടെ) വികസനം മന്ദഗതിയിലാക്കാതെ സുരക്ഷിതവും വിശ്വസനീയവുമായ സോഫ്റ്റ്വെയർ ഡെലിവറി നിലനിർത്താൻ Xygeni നിങ്ങളെ സഹായിക്കുന്നു.




