दुर्भावनापूर्ण कोड डायजेस्ट जून

मालवेअर कोड डायजेस्ट मासिक आढावा: जून

अनुक्रमणिका

अवश्य वाचा

नवीनतम मनोरंजक पोस्ट्स

आपले स्वागत आहे झायजेनी मॅलिशियस कोड डायजेस्टची जून आवृत्तीया महिन्यात, आमच्या सुरक्षा संशोधन पथकाने 100 हून अधिक गोष्टींची पुष्टी केली. १३५ दुर्भावनापूर्ण पॅकेजेस npm, PyPI, आणि (पहिल्यांदाच) VSCode एक्सटेन्शन मार्केटप्लेसवर.

जून महिना तीन एकत्रित प्रवृत्तींनी गाजला: ब्लॉकलिस्टचा प्रभाव ओलांडू शकतील अशा सातत्यपूर्ण व्हर्जन-फ्लडिंग मोहिमा, एआय टूलिंग आणि एजेंटिक डेव्हलपमेंट वर्कफ्लोला लक्ष्य करणाऱ्या हल्ल्यांमध्ये झालेली तीव्र वाढ, आणि अंतर्गत मोनोरिपो नेमस्पेसेसवर झालेले समन्वित डिपेंडन्सी कन्फ्युजन हल्ले.

या महिन्यात नोंदवलेल्या सर्वात उल्लेखनीय मोहिमांपैकी:

  • संवेदनशीलता 2.5.x श्रेणीतील 70 हून अधिक आवृत्त्यांसह npm वर पूर आणला, टेकडाउनच्या पुढे राहण्यासाठी सतत पुनर्प्रकाशित करून एक दीर्घकाळ चालणारी टाळाटाळीची मोहीम चालवली.
  • A दोन-लाट सोलाना टायपोस्क्वॅट मोहीम (७-८ जून) ने वेशांतर करणारे १५ पॅकेजेस प्रकाशित केले. @solana-labs वेब3 आणि डीफाय डेव्हलपर्सना थेट लक्ष्य करून तयार केलेली इकोसिस्टम टूलिंग.
  • houzidawang806 एकाच दिवसात (१३ जून) २५ हून अधिक आवृत्त्यांची नोंद झाली, ज्यामध्ये सामील झाले मेट्रिक्स-pipeline-d8k2 १५ ते १८ जून दरम्यान २१ आवृत्त्यांमध्ये पुनर्प्रकाशित केले.
  • The क्रिप्टोडाओ गोंधळ मोहिमेने (१७ जून) आवृत्ती ९९.९९.९९ चे ११ पॅकेजेस प्रकाशित केले, त्या प्रत्येकात एकसारखा पोस्टइन्स्टॉल पेलोड होता. CI/CD टोकन्स, क्लाउड क्रेडेंशियल्स आणि क्रिप्टो वॉलेट सिक्रेट्स. 
  • २० ते २६ जूनच्या आठवड्यात महिन्यातील सर्वाधिक केंद्रित एआय टूलिंग लक्ष्यीकरण झाले: ओलामा-मदतनीस (२३ आवृत्त्या), ओपनएआय-एजंट्स-हेल्पर्स (२३ आवृत्त्या), मोनोक्लॉड, एआय-एसडीके-हेल्पर्सआणि @langgraphjs/toolkitएकाच आठवड्यात या सर्वांची पुष्टी झाली असून, हे थेट ओलामा, ओपनएआय एजंट्स एसडीके, लँगग्राफ आणि क्लॉड एपीआय इंटिग्रेशन्सना लक्ष्य करते.
  • दोन निश्चित दुर्भावनापूर्ण VSCode एक्सटेंशन्स या महिन्यात दिसून आलेल्या या प्रकारामुळे, हल्लेखोर आता पॅकेज रजिस्ट्रीच्या पलीकडे जाऊन थेट डेव्हलपर एनवायरनमेंटमध्येच विस्तार करत असल्याचे संकेत मिळत आहेत.

जून महिन्याचे ठळक वैशिष्ट्य म्हणजे हल्ले आता IDE एक्सटेंशन्स, AI एजंट टूलिंग आणि एजेंटिक वर्कफ्लोमध्ये होत आहेत, जिथे आपोआप इन्स्टॉल झालेल्या दुर्भावनापूर्ण पॅकेजचे संक्रमण आणि अंमलबजावणी या दरम्यान कोणताही मानवी समीक्षक नसतो.

हे मासिक अपडेट झायजेनीच्या चालू असलेल्या मालवेअर आणि सप्लाय चेन धोक्यांवरील संशोधन उपक्रमाचा एक भाग आहे. या महिन्यात पुष्टी झालेल्या प्रत्येक दुर्भावनापूर्ण पॅकेजच्या संपूर्ण संदर्भासाठी, झायजेनी सुरक्षा टीमकडून संपूर्ण जून मॅलिशियस कोड डायजेस्ट आणि संबंधित संशोधन पहा.

पहिला आठवडा: ६३ हून अधिक पॅकेजेस सापडली

पर्यावरणातील पॅकेज तारीख
जून 20, 2026
npmपॅनराउटर:६.४.२ २२ जूनपर्यंत ५.x–६.x श्रेणीतील + ३० आवृत्त्या — आठवड्यातील प्रमुख मोहीमजून 20, 2026
npmट्रिमप्रॉम्प्ट:१.०.१७ + ४ आवृत्त्या — मागील आठवड्यापासून पुढे, अजूनही सक्रियजून 20, 2026
npmमोनोक्लॉड:१.०.३ + २ आवृत्त्या — क्लॉड एपीआय टूलिंगचे बनावटीकरणजून 20, 2026
vscodeऑर्बिट-एजंटिक-पेअर-प्रोग्रामिंग-फॉर-स्मॉलटॉक:१.२११.० + १ आवृत्ती — एजेंटिक डेव्हलपमेंटला लक्ष्य करणारा दुर्भावनापूर्ण VSCode एक्सटेंशनजून 20, 2026
npmसिम्पलसेफ-गॅट्सबी:१.०.१ स्मार्ट होम प्लॅटफॉर्म नेमस्पेस इम्पर्सनेशनजून 20, 2026
जून 21, 2026
npmatlasora-shared:1.0.0 + ६ पॅकेजेस — समन्वित मोनोरिपो डिपेंडन्सी गोंधळ: atlasora-api, -client, -sdk, -types, -utils, -configजून 21, 2026
npmapintergrationpost:4.0.2 + ६ आवृत्त्या — हेतुपुरस्सर चुकीचे स्पेलिंग मोहीम लक्ष्यीकरण एकीकरण साधनजून 21, 2026
npmएलएलएम-ट्रेसेस-ॲप:१.०.१ एलएलएम निरीक्षणक्षमता साधनांना लक्ष्य केलेजून 21, 2026
pypid0rk3r-telemetry:1.0.0 PyPI मधील अस्पष्ट केलेले टेलिमेट्री पॅकेजजून 21, 2026
जून 22, 2026
pypiटीएम-एआय:२.९१.६५ + ७ आवृत्त्या — PyPI वर आवृत्त्यांचा पूर आणण्याची सातत्यपूर्ण मोहीमजून 22, 2026
pypiरिक्वेस्ट-कॅशे-पाय:१.१.० + ६ आवृत्त्या — PyPI आवृत्त्यांचा पूरजून 22, 2026
pypiकॉर्विनोस:०.१.० + ६ आवृत्त्या — पायपीआय (PyPI) सामूहिक नोंदणी मोहीमजून 22, 2026
जून 23, 2026
npmवेब3-टोकन-हेल्पर:1.1.1 + २ आवृत्त्या — वेब३ टोकन युटिलिटी लक्ष्यीकरणजून 23, 2026
npmमोनोक्रॉस:१.०.३ + १ आवृत्ती — मोनोक्लॉड आणि मोनोटॅकोस सोबत मोनो-* नामकरण समूहजून 23, 2026
जून 24, 2026
npmओलामा-हेल्पर्स:१.२.१ + १९ आवृत्त्या — महिन्यातील सर्वात मोठी एआय टूलिंग मोहीम, ओलामा लोकल एआय रनटाइमला लक्ष्य करूनजून 24, 2026
npmopenai-agents-helpers:0.1.1 + २२ आवृत्त्या — ओपनएआय एजंट्स एसडीके इकोसिस्टमला लक्ष्य करणारी समन्वित मोहीमजून 24, 2026
जून 25, 2026
npmai-sdk-helpers:1.4.3 @langgraphjs/toolkit:1.2.11 सोबत लक्ष्यित केलेले AI SDK टूलिंगजून 25, 2026
npmसाइनअप-एम्बेडर:९९.९९.९९-पीओसी२ + hs-locale-management — हबस्पॉटच्या अंतर्गत नेमस्पेस अवलंबित्व गोंधळ, पीओसी प्रत्ययाद्वारे सक्रिय संशोधन मोहिमेची पुष्टीजून 25, 2026
जून 26, 2026
npmइझी-स्ट्रिंग-किट:१.०.८ + easy-string-kit232 या व्हेरिएंटसह ८ आवृत्त्या — जेनेरिक युटिलिटी नावाअंतर्गत मोठ्या प्रमाणात नोंदणीजून 26, 2026
npmअसुरक्षित-दुर्भावनापूर्ण-पॅकेज:१.०.९ + ५ आवृत्त्या — पॅकेजला स्पष्टपणे दुर्भावनापूर्ण म्हणून नाव दिले आहे, पेलोडची पुष्टी झाली आहे, चाचणी किंवा चिथावणी मोहीम असण्याची शक्यता आहे.जून 26, 2026
npm@vpms/design-system:1.1.2 + २ आवृत्त्या — डिझाइन सिस्टम नेमस्पेस बनावटजून 26, 2026

पहिला आठवडा: ६३ हून अधिक पॅकेजेस सापडली

पर्यावरणातील पॅकेज तारीख
जून 13, 2026
npmhouzidawang806:1.0.0 + 1.0.x–1.2.x मधील 25 आवृत्त्या, ज्यात houzidawang807 आणि houzidawang808 यांसारख्या भावंडांचा समावेश आहे — आठवड्याची प्रमुख मोहीमजून 13, 2026
npmमैत्रीपूर्ण-स्वागतकर्ता-डेमो:१.०.१४ + ४ आवृत्त्या — अनेक दिवसांपर्यंत पुन्हा दिसणारी सातत्यपूर्ण मोहीमजून 13, 2026
npmटीएससी-एआय:१.२.० tsc-* क्लस्टर: tsc-ai, tsc-mesh, tsc-lotl — CI टूलिंग नेमस्पेसचे प्रतिरूपणजून 13, 2026
pypiन्यूरलब्रिज-एसडीके:५.६.११ + 4.5.x–5.1.x मधील ६ आवृत्त्या — अनेक दिवस चाललेली PyPI मोहीमजून 13, 2026
जून 15, 2026
npmटोकन-किंमत-क्रॉन:९९९.०.० + ६ पॅकेजेस — अंतर्गत क्रॉन आणि व्हॉल्ट टूलिंगला लक्ष्य करणारा डीफाय पायाभूत सुविधांच्या अवलंबित्व गोंधळाचा समूहजून 15, 2026
जून 16, 2026
npmबोडेगा-एसडीके:९.९.९ + ८ पॅकेजेस — डीफाय लेंडिंग आणि कार्डानो इकोसिस्टम क्लस्टर: फ्लो-लेंडिंग, सर्फ-लेंडिंग, जानुस-*, फ्लोकार्डानो, फ्लोडेफीजून 16, 2026
npmइव्हेंट-मेट्रिक्स-q3x7:1.0.0 + ८ आवृत्त्या — मोठ्या प्रमाणात मॉनिटरिंग-थीम असलेल्या नावांची नोंदणी करणारे जेनेरिक हेक्स-प्रत्यय पॅकेजजून 16, 2026
npmnic-datagov:1.0.0 + ३ पॅकेजेस — सरकारी डेटा प्लॅटफॉर्म नेमस्पेस इंपर्सनेशन: ogd-analytics, ogd-platform, dms-backendजून 16, 2026
जून 17, 2026
npmक्रिप्टोडाओ-कॉन्ट्रॅक्ट्स:९९.९९.९९ + १० पॅकेजेस — क्रिप्टोडाओ डिपेंडन्सीमधील गोंधळ: core, sdk, bot, config, utils, deploy, signer, backend, typesजून 17, 2026
pypiटीमबॉट-एआय:१.४८.० PyPI मध्ये लक्ष्यित एआय एजंट टूलिंगजून 17, 2026
जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.0 १८ जून रोजी २० हून अधिक आवृत्त्या — एका दिवसाची सातत्यपूर्ण टाळाटाळीची मोहीम, ब्लॉकलिस्टमधून बाहेर पडण्यासाठी सतत पुनर्प्रकाशित करत आहे.जून 18, 2026
npmकेवळ स्कॅन:१.०.० + ६ आवृत्त्या — आवृत्तींचा पूर आणण्याची मोहीमजून 18, 2026
npmकलर-यूटिल्स-डी०:१.०.० + ५ जेनेरिक हेक्स-सफिक्स पॅकेजेस: data-utils, string-tools, type-check, fmt-helpers, metrics-probe — स्क्रिप्टेड बल्क रजिस्ट्रेशनजून 18, 2026
npm@azure-lab-services/ml-ts:99.0.0 Azure ML नेमस्पेस इंपर्सनेशनजून 18, 2026
जून 19, 2026
npmट्रिमप्रॉम्प्ट:१.०.१७ + trimprompt-hub — त्वरित अभियांत्रिकी साधनांना लक्ष्य केलेजून 19, 2026
npmक्लॉड-कप:०.८.६ क्लॉड एपीआय टूलिंग इंपर्सनेशनजून 19, 2026
pypiआयद्दीन-एजंट:०.१.० PyPI मध्ये लक्ष्यित एआय एजंट टूलिंगजून 19, 2026
npmवेब3-क्रिप्टो-अ‍ॅड्रेस-यूटिल्स:0.1.0 वेब3 युटिलिटी लक्ष्यीकरणजून 19, 2026

पहिला आठवडा: ६३ हून अधिक पॅकेजेस सापडली

पर्यावरणातील पॅकेज तारीख
जून 7, 2026
npm@solana-labs/web3.js:1.0.0 + ५ व्हेरिएंट्स — सोलाना इकोसिस्टम टायपोस्क्वॅट मोहीम, पहिली लाटजून 7, 2026
npm@jisan901/teamfocus:1.0.0 + २ आवृत्त्याजून 7, 2026
npm@sflyinc-knapsack/shutterfly-react:999.0.0 अवलंबित्व गोंधळ, फुगवलेली आवृत्तीजून 7, 2026
जून 8, 2026
npm@solana-labs/web3.js:1.98.102 + ९ प्रकार — सोलाना इकोसिस्टम टायपोस्क्वॅट मोहीम, दुसरी लाटजून 8, 2026
pypihelixagentai:0.1.3 PyPI मध्ये लक्ष्यित एआय एजंट टूलिंगजून 8, 2026
जून 9, 2026
npm@nstrlabs/sdk:99.0.0 + ७ पॅकेजेस — अंतर्गत मोनोरिपो नेमस्पेसच्या विरुद्ध डिपेंडेंसी गोंधळजून 9, 2026
npm@klapp-login-platform/native-sdk:99.0.0 + ९ पॅकेजेस — एकाधिक क्लॅप नेमस्पेसेसमध्ये प्रमाणीकरण प्लॅटफॉर्मचे छद्मवेषीकरणजून 9, 2026
npmब्लॉकचेन-हेल्पर-०:१.०.० + ७ पॅकेजेस — वेब३ डेव्हलपर्सना लक्ष्य करणारे क्रिप्टो/डीफाय युटिलिटी क्लस्टरजून 9, 2026
npm@card-pci-data/store:99.0.0 पेमेंट कार्ड डेटा नेमस्पेस लक्ष्यितजून 9, 2026
जून 10, 2026
npmमॉर्निंगस्टार-डिझाइन-सिस्टम:९९.०.२ + २ आवृत्त्या — आर्थिक डिझाइन सिस्टमची बनावटगिरीजून 10, 2026
जून 11, 2026
npmपोक्टेझेप:१.१.१ + ५ आवृत्त्या एकाच दिवशी प्रकाशित झाल्याजून 11, 2026
npm@coze-common/chat-area:99.1.1 एआय चॅट प्लॅटफॉर्म नेमस्पेस बनावटजून 11, 2026
pypiटेलिग्रामलाइट:१.०.१ + १ आवृत्ती — PyPI मध्ये मेसेजिंग प्लॅटफॉर्मची बनावट ओळखजून 11, 2026
जून 12, 2026
npmएक्टो-कॉर्सेअर-व्हिस्पर-6f3b9:1.0.18 + ७ एक्टो-* व्हेरिएंट्स — अस्पष्ट नावांचा समूहजून 12, 2026
npminternallib_v984:1.0.3 + internallib_v557 क्लस्टर — अंतर्गत लायब्ररी इंपोस्टर्सच्या १३ आवृत्त्याजून 12, 2026
npmव्हॉयेजर-वेब:९९९.०.० अवलंबित्व गोंधळ, फुगवलेली आवृत्तीजून 12, 2026
pypicdjeez:0.32.0जून 12, 2026

पहिला आठवडा: ६३ हून अधिक पॅकेजेस सापडली

पर्यावरणातील पॅकेज तारीख
30 शकते, 2026
npm@cloudplatform-single-spa/administration:99.99.100 अवलंबित्व गोंधळ, फुगवलेली आवृत्ती30 शकते, 2026
vscodexampp-manager:5.1.3 VSCode एक्सटेंशन — डेव्हलपर टूलची नक्कल30 शकते, 2026
जून 1, 2026
npm@tse-digital/core:99.0.0 अवलंबित्व गोंधळ — @telenor-se आणि @ownit यांनाही फटका बसलाजून 1, 2026
npmसीएमएस-स्टोअरहब:१.३.६ + २ आवृत्त्या, सीएमएस नेमस्पेस क्लस्टरजून 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.69 + ६ आवृत्त्या, AWS क्रेडेंशियल्सना लक्ष्य करणारे फुगवलेले आवृत्ती क्रमांकजून 1, 2026
npmरुग्णांची कागदपत्रे:७५.०.० आरोग्यसेवा नेमस्पेस लक्ष्यजून 1, 2026
npm@emcd-vue/auth:6.4.9 क्रिप्टो एक्सचेंज नेमस्पेस बनावटजून 1, 2026
pypiसिमटूरियल-सीएलआय:०.३.०जून 1, 2026
जून 2, 2026
npmसंवेदनशीलता:२.५.६९ २.५.x श्रेणीतील ७० हून अधिक आवृत्त्या, २-५ जून — या कालावधीतील प्रमुख मोहीमजून 2, 2026
npm@langgraphjs/toolkit:1.2.10 लँगग्राफ टूलिंग लक्ष्यितजून 2, 2026
जून 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.1 + २ आवृत्त्या, सेंट्री नेमस्पेस बनावटजून 4, 2026
npminternallib_v346:1.0.3 + २ आवृत्त्या, अंतर्गत लायब्ररी तोतयाजून 4, 2026
npmai-sdk-helpers:0.2.1 + ७ आवृत्त्या, एआय एसडीके टूलिंगला लक्ष्य करूनजून 4, 2026

घातक कोड तुमच्यापर्यंत पोहोचण्यापूर्वीच थांबवा. Pipeline

सॉफ्टवेअर सप्लाय चेनचे धोके आता केवळ सैद्धांतिक राहिलेले नाहीत. डिपेंडन्सी कन्फ्युजन अटॅक्स, क्रेडेन्शियल चोरणारे, एआय-लक्ष्यित मालवेअर आणि दूषित डेव्हलपर टूलिंग हे प्रत्यक्ष टीम्सना लक्ष्य करत आहेत. SDLCप्रत्येक आठवड्याला.

झायजेनीचे मालवेअर शोध आणि पुरवठा साखळी सुरक्षा प्लॅटफॉर्म संस्थांना डेव्हलपर मशीनवर कार्यान्वित होण्यापूर्वी, बिल्ड सिस्टीममध्ये प्रवेश करण्यापूर्वी किंवा प्रोडक्शनपर्यंत पोहोचण्यापूर्वी दुर्भावनापूर्ण डिपेंडन्सी पकडण्याची क्षमता देते. यामध्ये npm, PyPI, VSCode आणि इतर प्लॅटफॉर्म्सचा समावेश आहे, जे संशयास्पद पब्लिशिंग पॅटर्न्स, नेमस्पेसचा गैरवापर, टायपोस्क्वॉटिंग आणि उदयास येणाऱ्या AI-नेटिव्ह हल्ला तंत्रांवर लक्ष ठेवते.

प्रत्येक निष्कर्षाला त्याची उपयुक्तता, पोहोचण्यायोग्यता आणि व्यावसायिक परिणाम यांनुसार आपोआप प्राधान्य दिले जाते, जेणेकरून तुमची टीम अनावश्यक गोष्टींवर नव्हे, तर खरोखर दुरुस्त करण्याची गरज असलेल्या गोष्टींवर लक्ष केंद्रित करू शकेल.

मग ते एखादे दुर्भावनापूर्ण ओपन-सोर्स पॅकेज असो, असुरक्षित डेव्हलपर टूल असो किंवा एआय-निर्मित कोडचा धोका असो, झायजेनी (Xygeni) सुरक्षा आणि अभियांत्रिकी संघांना पुरवठा साखळीतील धोक्यांच्या बाबतीत एक पाऊल पुढे ठेवते.

झायगेनी सुरक्षा टीमने प्रमाणित केलेले प्रत्येक दुर्भावनापूर्ण पॅकेज आणि मोहीम तपासा. दुर्भावनापूर्ण कोड डायजेस्ट.

सुरक्षित रहा. वेगवान रहा. Xygeni सोबत नियंत्रणात रहा.

sca-tools-software-composition-analysis-tools
तुमच्या सॉफ्टवेअरमधील धोक्यांना प्राधान्य द्या, त्यांचे निवारण करा आणि त्यांना सुरक्षित करा.
आपले मोफत खाते मिळवा.
क्रेडिट कार्ड आवश्यक नाही.

तुमचा सॉफ्टवेअर विकास आणि वितरण सुरक्षित करा

झायगेनी प्रोडक्ट सूटसह