आपले स्वागत आहे झायजेनी मॅलिशियस कोड डायजेस्टची जून आवृत्तीया महिन्यात, आमच्या सुरक्षा संशोधन पथकाने 100 हून अधिक गोष्टींची पुष्टी केली. १३५ दुर्भावनापूर्ण पॅकेजेस npm, PyPI, आणि (पहिल्यांदाच) VSCode एक्सटेन्शन मार्केटप्लेसवर.
जून महिना तीन एकत्रित प्रवृत्तींनी गाजला: ब्लॉकलिस्टचा प्रभाव ओलांडू शकतील अशा सातत्यपूर्ण व्हर्जन-फ्लडिंग मोहिमा, एआय टूलिंग आणि एजेंटिक डेव्हलपमेंट वर्कफ्लोला लक्ष्य करणाऱ्या हल्ल्यांमध्ये झालेली तीव्र वाढ, आणि अंतर्गत मोनोरिपो नेमस्पेसेसवर झालेले समन्वित डिपेंडन्सी कन्फ्युजन हल्ले.
या महिन्यात नोंदवलेल्या सर्वात उल्लेखनीय मोहिमांपैकी:
- संवेदनशीलता 2.5.x श्रेणीतील 70 हून अधिक आवृत्त्यांसह npm वर पूर आणला, टेकडाउनच्या पुढे राहण्यासाठी सतत पुनर्प्रकाशित करून एक दीर्घकाळ चालणारी टाळाटाळीची मोहीम चालवली.
- A दोन-लाट सोलाना टायपोस्क्वॅट मोहीम (७-८ जून) ने वेशांतर करणारे १५ पॅकेजेस प्रकाशित केले.
@solana-labsवेब3 आणि डीफाय डेव्हलपर्सना थेट लक्ष्य करून तयार केलेली इकोसिस्टम टूलिंग. - houzidawang806 एकाच दिवसात (१३ जून) २५ हून अधिक आवृत्त्यांची नोंद झाली, ज्यामध्ये सामील झाले मेट्रिक्स-pipeline-d8k2 १५ ते १८ जून दरम्यान २१ आवृत्त्यांमध्ये पुनर्प्रकाशित केले.
- The क्रिप्टोडाओ गोंधळ मोहिमेने (१७ जून) आवृत्ती ९९.९९.९९ चे ११ पॅकेजेस प्रकाशित केले, त्या प्रत्येकात एकसारखा पोस्टइन्स्टॉल पेलोड होता. CI/CD टोकन्स, क्लाउड क्रेडेंशियल्स आणि क्रिप्टो वॉलेट सिक्रेट्स.
- २० ते २६ जूनच्या आठवड्यात महिन्यातील सर्वाधिक केंद्रित एआय टूलिंग लक्ष्यीकरण झाले: ओलामा-मदतनीस (२३ आवृत्त्या), ओपनएआय-एजंट्स-हेल्पर्स (२३ आवृत्त्या), मोनोक्लॉड, एआय-एसडीके-हेल्पर्सआणि @langgraphjs/toolkitएकाच आठवड्यात या सर्वांची पुष्टी झाली असून, हे थेट ओलामा, ओपनएआय एजंट्स एसडीके, लँगग्राफ आणि क्लॉड एपीआय इंटिग्रेशन्सना लक्ष्य करते.
- दोन निश्चित दुर्भावनापूर्ण VSCode एक्सटेंशन्स या महिन्यात दिसून आलेल्या या प्रकारामुळे, हल्लेखोर आता पॅकेज रजिस्ट्रीच्या पलीकडे जाऊन थेट डेव्हलपर एनवायरनमेंटमध्येच विस्तार करत असल्याचे संकेत मिळत आहेत.
जून महिन्याचे ठळक वैशिष्ट्य म्हणजे हल्ले आता IDE एक्सटेंशन्स, AI एजंट टूलिंग आणि एजेंटिक वर्कफ्लोमध्ये होत आहेत, जिथे आपोआप इन्स्टॉल झालेल्या दुर्भावनापूर्ण पॅकेजचे संक्रमण आणि अंमलबजावणी या दरम्यान कोणताही मानवी समीक्षक नसतो.
हे मासिक अपडेट झायजेनीच्या चालू असलेल्या मालवेअर आणि सप्लाय चेन धोक्यांवरील संशोधन उपक्रमाचा एक भाग आहे. या महिन्यात पुष्टी झालेल्या प्रत्येक दुर्भावनापूर्ण पॅकेजच्या संपूर्ण संदर्भासाठी, झायजेनी सुरक्षा टीमकडून संपूर्ण जून मॅलिशियस कोड डायजेस्ट आणि संबंधित संशोधन पहा.
पहिला आठवडा: ६३ हून अधिक पॅकेजेस सापडली
| पर्यावरणातील | पॅकेज | तारीख |
|---|---|---|
| जून 20, 2026 | ||
| npm | पॅनराउटर:६.४.२ २२ जूनपर्यंत ५.x–६.x श्रेणीतील + ३० आवृत्त्या — आठवड्यातील प्रमुख मोहीम | जून 20, 2026 |
| npm | ट्रिमप्रॉम्प्ट:१.०.१७ + ४ आवृत्त्या — मागील आठवड्यापासून पुढे, अजूनही सक्रिय | जून 20, 2026 |
| npm | मोनोक्लॉड:१.०.३ + २ आवृत्त्या — क्लॉड एपीआय टूलिंगचे बनावटीकरण | जून 20, 2026 |
| vscode | ऑर्बिट-एजंटिक-पेअर-प्रोग्रामिंग-फॉर-स्मॉलटॉक:१.२११.० + १ आवृत्ती — एजेंटिक डेव्हलपमेंटला लक्ष्य करणारा दुर्भावनापूर्ण VSCode एक्सटेंशन | जून 20, 2026 |
| npm | सिम्पलसेफ-गॅट्सबी:१.०.१ स्मार्ट होम प्लॅटफॉर्म नेमस्पेस इम्पर्सनेशन | जून 20, 2026 |
| जून 21, 2026 | ||
| npm | atlasora-shared:1.0.0 + ६ पॅकेजेस — समन्वित मोनोरिपो डिपेंडन्सी गोंधळ: atlasora-api, -client, -sdk, -types, -utils, -config | जून 21, 2026 |
| npm | apintergrationpost:4.0.2 + ६ आवृत्त्या — हेतुपुरस्सर चुकीचे स्पेलिंग मोहीम लक्ष्यीकरण एकीकरण साधन | जून 21, 2026 |
| npm | एलएलएम-ट्रेसेस-ॲप:१.०.१ एलएलएम निरीक्षणक्षमता साधनांना लक्ष्य केले | जून 21, 2026 |
| pypi | d0rk3r-telemetry:1.0.0 PyPI मधील अस्पष्ट केलेले टेलिमेट्री पॅकेज | जून 21, 2026 |
| जून 22, 2026 | ||
| pypi | टीएम-एआय:२.९१.६५ + ७ आवृत्त्या — PyPI वर आवृत्त्यांचा पूर आणण्याची सातत्यपूर्ण मोहीम | जून 22, 2026 |
| pypi | रिक्वेस्ट-कॅशे-पाय:१.१.० + ६ आवृत्त्या — PyPI आवृत्त्यांचा पूर | जून 22, 2026 |
| pypi | कॉर्विनोस:०.१.० + ६ आवृत्त्या — पायपीआय (PyPI) सामूहिक नोंदणी मोहीम | जून 22, 2026 |
| जून 23, 2026 | ||
| npm | वेब3-टोकन-हेल्पर:1.1.1 + २ आवृत्त्या — वेब३ टोकन युटिलिटी लक्ष्यीकरण | जून 23, 2026 |
| npm | मोनोक्रॉस:१.०.३ + १ आवृत्ती — मोनोक्लॉड आणि मोनोटॅकोस सोबत मोनो-* नामकरण समूह | जून 23, 2026 |
| जून 24, 2026 | ||
| npm | ओलामा-हेल्पर्स:१.२.१ + १९ आवृत्त्या — महिन्यातील सर्वात मोठी एआय टूलिंग मोहीम, ओलामा लोकल एआय रनटाइमला लक्ष्य करून | जून 24, 2026 |
| npm | openai-agents-helpers:0.1.1 + २२ आवृत्त्या — ओपनएआय एजंट्स एसडीके इकोसिस्टमला लक्ष्य करणारी समन्वित मोहीम | जून 24, 2026 |
| जून 25, 2026 | ||
| npm | ai-sdk-helpers:1.4.3 @langgraphjs/toolkit:1.2.11 सोबत लक्ष्यित केलेले AI SDK टूलिंग | जून 25, 2026 |
| npm | साइनअप-एम्बेडर:९९.९९.९९-पीओसी२ + hs-locale-management — हबस्पॉटच्या अंतर्गत नेमस्पेस अवलंबित्व गोंधळ, पीओसी प्रत्ययाद्वारे सक्रिय संशोधन मोहिमेची पुष्टी | जून 25, 2026 |
| जून 26, 2026 | ||
| npm | इझी-स्ट्रिंग-किट:१.०.८ + easy-string-kit232 या व्हेरिएंटसह ८ आवृत्त्या — जेनेरिक युटिलिटी नावाअंतर्गत मोठ्या प्रमाणात नोंदणी | जून 26, 2026 |
| npm | असुरक्षित-दुर्भावनापूर्ण-पॅकेज:१.०.९ + ५ आवृत्त्या — पॅकेजला स्पष्टपणे दुर्भावनापूर्ण म्हणून नाव दिले आहे, पेलोडची पुष्टी झाली आहे, चाचणी किंवा चिथावणी मोहीम असण्याची शक्यता आहे. | जून 26, 2026 |
| npm | @vpms/design-system:1.1.2 + २ आवृत्त्या — डिझाइन सिस्टम नेमस्पेस बनावट | जून 26, 2026 |
पहिला आठवडा: ६३ हून अधिक पॅकेजेस सापडली
| पर्यावरणातील | पॅकेज | तारीख |
|---|---|---|
| जून 13, 2026 | ||
| npm | houzidawang806:1.0.0 + 1.0.x–1.2.x मधील 25 आवृत्त्या, ज्यात houzidawang807 आणि houzidawang808 यांसारख्या भावंडांचा समावेश आहे — आठवड्याची प्रमुख मोहीम | जून 13, 2026 |
| npm | मैत्रीपूर्ण-स्वागतकर्ता-डेमो:१.०.१४ + ४ आवृत्त्या — अनेक दिवसांपर्यंत पुन्हा दिसणारी सातत्यपूर्ण मोहीम | जून 13, 2026 |
| npm | टीएससी-एआय:१.२.० tsc-* क्लस्टर: tsc-ai, tsc-mesh, tsc-lotl — CI टूलिंग नेमस्पेसचे प्रतिरूपण | जून 13, 2026 |
| pypi | न्यूरलब्रिज-एसडीके:५.६.११ + 4.5.x–5.1.x मधील ६ आवृत्त्या — अनेक दिवस चाललेली PyPI मोहीम | जून 13, 2026 |
| जून 15, 2026 | ||
| npm | टोकन-किंमत-क्रॉन:९९९.०.० + ६ पॅकेजेस — अंतर्गत क्रॉन आणि व्हॉल्ट टूलिंगला लक्ष्य करणारा डीफाय पायाभूत सुविधांच्या अवलंबित्व गोंधळाचा समूह | जून 15, 2026 |
| जून 16, 2026 | ||
| npm | बोडेगा-एसडीके:९.९.९ + ८ पॅकेजेस — डीफाय लेंडिंग आणि कार्डानो इकोसिस्टम क्लस्टर: फ्लो-लेंडिंग, सर्फ-लेंडिंग, जानुस-*, फ्लोकार्डानो, फ्लोडेफी | जून 16, 2026 |
| npm | इव्हेंट-मेट्रिक्स-q3x7:1.0.0 + ८ आवृत्त्या — मोठ्या प्रमाणात मॉनिटरिंग-थीम असलेल्या नावांची नोंदणी करणारे जेनेरिक हेक्स-प्रत्यय पॅकेज | जून 16, 2026 |
| npm | nic-datagov:1.0.0 + ३ पॅकेजेस — सरकारी डेटा प्लॅटफॉर्म नेमस्पेस इंपर्सनेशन: ogd-analytics, ogd-platform, dms-backend | जून 16, 2026 |
| जून 17, 2026 | ||
| npm | क्रिप्टोडाओ-कॉन्ट्रॅक्ट्स:९९.९९.९९ + १० पॅकेजेस — क्रिप्टोडाओ डिपेंडन्सीमधील गोंधळ: core, sdk, bot, config, utils, deploy, signer, backend, types | जून 17, 2026 |
| pypi | टीमबॉट-एआय:१.४८.० PyPI मध्ये लक्ष्यित एआय एजंट टूलिंग | जून 17, 2026 |
| जून 18, 2026 | ||
| npm | मेट्रिक्स-pipeline-d8k2:1.0.0 १८ जून रोजी २० हून अधिक आवृत्त्या — एका दिवसाची सातत्यपूर्ण टाळाटाळीची मोहीम, ब्लॉकलिस्टमधून बाहेर पडण्यासाठी सतत पुनर्प्रकाशित करत आहे. | जून 18, 2026 |
| npm | केवळ स्कॅन:१.०.० + ६ आवृत्त्या — आवृत्तींचा पूर आणण्याची मोहीम | जून 18, 2026 |
| npm | कलर-यूटिल्स-डी०:१.०.० + ५ जेनेरिक हेक्स-सफिक्स पॅकेजेस: data-utils, string-tools, type-check, fmt-helpers, metrics-probe — स्क्रिप्टेड बल्क रजिस्ट्रेशन | जून 18, 2026 |
| npm | @azure-lab-services/ml-ts:99.0.0 Azure ML नेमस्पेस इंपर्सनेशन | जून 18, 2026 |
| जून 19, 2026 | ||
| npm | ट्रिमप्रॉम्प्ट:१.०.१७ + trimprompt-hub — त्वरित अभियांत्रिकी साधनांना लक्ष्य केले | जून 19, 2026 |
| npm | क्लॉड-कप:०.८.६ क्लॉड एपीआय टूलिंग इंपर्सनेशन | जून 19, 2026 |
| pypi | आयद्दीन-एजंट:०.१.० PyPI मध्ये लक्ष्यित एआय एजंट टूलिंग | जून 19, 2026 |
| npm | वेब3-क्रिप्टो-अॅड्रेस-यूटिल्स:0.1.0 वेब3 युटिलिटी लक्ष्यीकरण | जून 19, 2026 |
पहिला आठवडा: ६३ हून अधिक पॅकेजेस सापडली
| पर्यावरणातील | पॅकेज | तारीख |
|---|---|---|
| जून 7, 2026 | ||
| npm | @solana-labs/web3.js:1.0.0 + ५ व्हेरिएंट्स — सोलाना इकोसिस्टम टायपोस्क्वॅट मोहीम, पहिली लाट | जून 7, 2026 |
| npm | @jisan901/teamfocus:1.0.0 + २ आवृत्त्या | जून 7, 2026 |
| npm | @sflyinc-knapsack/shutterfly-react:999.0.0 अवलंबित्व गोंधळ, फुगवलेली आवृत्ती | जून 7, 2026 |
| जून 8, 2026 | ||
| npm | @solana-labs/web3.js:1.98.102 + ९ प्रकार — सोलाना इकोसिस्टम टायपोस्क्वॅट मोहीम, दुसरी लाट | जून 8, 2026 |
| pypi | helixagentai:0.1.3 PyPI मध्ये लक्ष्यित एआय एजंट टूलिंग | जून 8, 2026 |
| जून 9, 2026 | ||
| npm | @nstrlabs/sdk:99.0.0 + ७ पॅकेजेस — अंतर्गत मोनोरिपो नेमस्पेसच्या विरुद्ध डिपेंडेंसी गोंधळ | जून 9, 2026 |
| npm | @klapp-login-platform/native-sdk:99.0.0 + ९ पॅकेजेस — एकाधिक क्लॅप नेमस्पेसेसमध्ये प्रमाणीकरण प्लॅटफॉर्मचे छद्मवेषीकरण | जून 9, 2026 |
| npm | ब्लॉकचेन-हेल्पर-०:१.०.० + ७ पॅकेजेस — वेब३ डेव्हलपर्सना लक्ष्य करणारे क्रिप्टो/डीफाय युटिलिटी क्लस्टर | जून 9, 2026 |
| npm | @card-pci-data/store:99.0.0 पेमेंट कार्ड डेटा नेमस्पेस लक्ष्यित | जून 9, 2026 |
| जून 10, 2026 | ||
| npm | मॉर्निंगस्टार-डिझाइन-सिस्टम:९९.०.२ + २ आवृत्त्या — आर्थिक डिझाइन सिस्टमची बनावटगिरी | जून 10, 2026 |
| जून 11, 2026 | ||
| npm | पोक्टेझेप:१.१.१ + ५ आवृत्त्या एकाच दिवशी प्रकाशित झाल्या | जून 11, 2026 |
| npm | @coze-common/chat-area:99.1.1 एआय चॅट प्लॅटफॉर्म नेमस्पेस बनावट | जून 11, 2026 |
| pypi | टेलिग्रामलाइट:१.०.१ + १ आवृत्ती — PyPI मध्ये मेसेजिंग प्लॅटफॉर्मची बनावट ओळख | जून 11, 2026 |
| जून 12, 2026 | ||
| npm | एक्टो-कॉर्सेअर-व्हिस्पर-6f3b9:1.0.18 + ७ एक्टो-* व्हेरिएंट्स — अस्पष्ट नावांचा समूह | जून 12, 2026 |
| npm | internallib_v984:1.0.3 + internallib_v557 क्लस्टर — अंतर्गत लायब्ररी इंपोस्टर्सच्या १३ आवृत्त्या | जून 12, 2026 |
| npm | व्हॉयेजर-वेब:९९९.०.० अवलंबित्व गोंधळ, फुगवलेली आवृत्ती | जून 12, 2026 |
| pypi | cdjeez:0.32.0 | जून 12, 2026 |
पहिला आठवडा: ६३ हून अधिक पॅकेजेस सापडली
| पर्यावरणातील | पॅकेज | तारीख |
|---|---|---|
| 30 शकते, 2026 | ||
| npm | @cloudplatform-single-spa/administration:99.99.100 अवलंबित्व गोंधळ, फुगवलेली आवृत्ती | 30 शकते, 2026 |
| vscode | xampp-manager:5.1.3 VSCode एक्सटेंशन — डेव्हलपर टूलची नक्कल | 30 शकते, 2026 |
| जून 1, 2026 | ||
| npm | @tse-digital/core:99.0.0 अवलंबित्व गोंधळ — @telenor-se आणि @ownit यांनाही फटका बसला | जून 1, 2026 |
| npm | सीएमएस-स्टोअरहब:१.३.६ + २ आवृत्त्या, सीएमएस नेमस्पेस क्लस्टर | जून 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 + ६ आवृत्त्या, AWS क्रेडेंशियल्सना लक्ष्य करणारे फुगवलेले आवृत्ती क्रमांक | जून 1, 2026 |
| npm | रुग्णांची कागदपत्रे:७५.०.० आरोग्यसेवा नेमस्पेस लक्ष्य | जून 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 क्रिप्टो एक्सचेंज नेमस्पेस बनावट | जून 1, 2026 |
| pypi | सिमटूरियल-सीएलआय:०.३.० | जून 1, 2026 |
| जून 2, 2026 | ||
| npm | संवेदनशीलता:२.५.६९ २.५.x श्रेणीतील ७० हून अधिक आवृत्त्या, २-५ जून — या कालावधीतील प्रमुख मोहीम | जून 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 लँगग्राफ टूलिंग लक्ष्यित | जून 2, 2026 |
| जून 4, 2026 | ||
| npm | @sentry-browser-sdk/profiling-node:1.0.1 + २ आवृत्त्या, सेंट्री नेमस्पेस बनावट | जून 4, 2026 |
| npm | internallib_v346:1.0.3 + २ आवृत्त्या, अंतर्गत लायब्ररी तोतया | जून 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 + ७ आवृत्त्या, एआय एसडीके टूलिंगला लक्ष्य करून | जून 4, 2026 |
घातक कोड तुमच्यापर्यंत पोहोचण्यापूर्वीच थांबवा. Pipeline
सॉफ्टवेअर सप्लाय चेनचे धोके आता केवळ सैद्धांतिक राहिलेले नाहीत. डिपेंडन्सी कन्फ्युजन अटॅक्स, क्रेडेन्शियल चोरणारे, एआय-लक्ष्यित मालवेअर आणि दूषित डेव्हलपर टूलिंग हे प्रत्यक्ष टीम्सना लक्ष्य करत आहेत. SDLCप्रत्येक आठवड्याला.
झायजेनीचे मालवेअर शोध आणि पुरवठा साखळी सुरक्षा प्लॅटफॉर्म संस्थांना डेव्हलपर मशीनवर कार्यान्वित होण्यापूर्वी, बिल्ड सिस्टीममध्ये प्रवेश करण्यापूर्वी किंवा प्रोडक्शनपर्यंत पोहोचण्यापूर्वी दुर्भावनापूर्ण डिपेंडन्सी पकडण्याची क्षमता देते. यामध्ये npm, PyPI, VSCode आणि इतर प्लॅटफॉर्म्सचा समावेश आहे, जे संशयास्पद पब्लिशिंग पॅटर्न्स, नेमस्पेसचा गैरवापर, टायपोस्क्वॉटिंग आणि उदयास येणाऱ्या AI-नेटिव्ह हल्ला तंत्रांवर लक्ष ठेवते.
प्रत्येक निष्कर्षाला त्याची उपयुक्तता, पोहोचण्यायोग्यता आणि व्यावसायिक परिणाम यांनुसार आपोआप प्राधान्य दिले जाते, जेणेकरून तुमची टीम अनावश्यक गोष्टींवर नव्हे, तर खरोखर दुरुस्त करण्याची गरज असलेल्या गोष्टींवर लक्ष केंद्रित करू शकेल.
मग ते एखादे दुर्भावनापूर्ण ओपन-सोर्स पॅकेज असो, असुरक्षित डेव्हलपर टूल असो किंवा एआय-निर्मित कोडचा धोका असो, झायजेनी (Xygeni) सुरक्षा आणि अभियांत्रिकी संघांना पुरवठा साखळीतील धोक्यांच्या बाबतीत एक पाऊल पुढे ठेवते.
झायगेनी सुरक्षा टीमने प्रमाणित केलेले प्रत्येक दुर्भावनापूर्ण पॅकेज आणि मोहीम तपासा. दुर्भावनापूर्ण कोड डायजेस्ट.
सुरक्षित रहा. वेगवान रहा. Xygeni सोबत नियंत्रणात रहा.




