जवळजवळ प्रत्येक आठवड्यातआमची मालवेअर शोध प्रणाली npm आणि PyPI सारख्या सार्वजनिक रजिस्ट्रींवरील हजारो नवीन आणि अद्ययावत पॅकेजेस स्कॅन करते. हा आठवडा खूप सक्रिय होता.
आम्ही पुष्टी केली १३५ दुर्भावनापूर्ण पॅकेजेसमुख्यतः npm वर, तसेच PyPI, OpenVSX, Composer आणि VS Code एक्सटेंशन्समध्येही अतिरिक्त प्रकरणे आढळली. यापैकी अनेक प्रकरणे समन्वित समूहांमध्ये दिसून आली, ज्यात एकाच नावाखाली किंवा एकमेकांशी जवळून संबंधित पॅकेज फॅमिलींमध्ये वारंवार दुर्भावनापूर्ण आवृत्त्या प्रकाशित केल्या गेल्या. एक लक्षणीय प्रकरण होते... sensivity पॅकेज, ज्याने 2.5.x श्रेणीतील 60 हून अधिक आवृत्त रिलीझसह npm वर पूर आणला. इतर उल्लेखनीय क्लस्टर्समध्ये यांचा समावेश होता ai-sdk-helpers (एआय डेव्हलपर्सना लक्ष्य करून तयार केलेल्या ८ आवृत्त्या), @antoncallahan/aws-user-helper (AWS युटिलिटीचे रूप धारण करणाऱ्या ७ आवृत्त्या), @apple-pay-trust आणि @google-pay-trust कुटुंबे (पेमेंट चेकआउट मॉड्यूलची नक्कल करणारी), @frengki0707/google-cloud-clone (गुगल क्लाउडची नक्कल करणाऱ्या ५ आवृत्त्या), आणि cms-storehub, cms-helpgitआणि cms-github (सीएमएसला लक्ष्य करत आहे) pipelineअनेक पॅकेजेसनी पेमेंट आणि चेकआउट मॉड्यूल्सची नक्कल केली होती. enterprise आणि अंतर्गत वेब पॅकेजेस, ॲनालिटिक्स क्लायंट्स, UI फाऊंडेशन्स, डेव्हलपर युटिलिटीज, कंपोनंट एक्सप्लोरर्स, क्लाउड- आणि गूगल-थीम असलेली पॅकेजेस, आणि आधुनिक डेव्हलपमेंट वर्कफ्लोमध्ये सामान्यतः वापरले जाणारे इतर मॉड्यूल्स.
या काही तुरळक विसंगती नव्हत्या. या आठवड्यात जे प्रकर्षाने जाणवले ते म्हणजे, एकाच पॅकेज फॅमिलीमध्ये वारंवार होणारे प्रकाशन, नामकरण पद्धतींचा पुनर्वापर, आणि प्रत्यक्ष सॉफ्टवेअर डिलिव्हरीमध्ये दुर्भावनापूर्ण पॅकेजेसना वैध डिपेंडन्सीसारखे दिसण्यासाठी ज्या प्रकारे लपवले जात होते ते. pipelines.
हा साप्ताहिक आढावा आमच्या चालू असलेल्या 'मॅलिशियस कोड डायजेस्ट'चा एक भाग आहे, ज्यामध्ये आम्ही नवीन धोक्यांची पडताळणी करतो आणि डेव्हसेकऑप्स टीम्सना त्यांचे संरक्षण करण्यास मदत करण्यासाठी उपयुक्त माहिती पुरवतो. pipelineनुकसान होण्यापूर्वी.
या आठवड्यात आपल्याला काय आढळले आणि ते महत्त्वाचे का आहे, हे आपण सविस्तरपणे पाहूया.
| पर्यावरणातील | पॅकेज | तारीख |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | 30 शकते, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 शकते, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | 30 शकते, 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | 30 शकते, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30 शकते, 2026 |
| npm | @easy-entry/routes:99.9.5 | 30 शकते, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | 30 शकते, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | 30 शकते, 2026 |
| vscode | xampp-manager:5.1.3 | 30 शकते, 2026 |
| npm | @चॅट-टेम्पलेट/ऑथ:१.०.० | 31 शकते, 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | जून 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | जून 1, 2026 |
| npm | नेमो-रिपोर्टर:१.८.२ | जून 1, 2026 |
| npm | सीएमएस-गिटहब:४.२.४ | जून 1, 2026 |
| npm | सीएमएस-हेल्पगिट:४.२.८ | जून 1, 2026 |
| npm | सीएमएस-हेल्पगिट:४.२.८ | जून 1, 2026 |
| npm | सीएमएस-स्टोअरहब:१.३.६ | जून 1, 2026 |
| npm | सीएमएस-स्टोअरहब:१.३.६ | जून 1, 2026 |
| npm | सीएमएस-स्टोअरहब:१.३.६ | जून 1, 2026 |
| pypi | सिमटूरियल-सीएलआय:०.३.० | जून 1, 2026 |
| npm | रिटेल-लोकेशन-स्ट्रॅटेजी-फ्रंटएंड:१.१.२ | जून 1, 2026 |
| npm | रिटेल-लोकेशन-स्ट्रॅटेजी-फ्रंटएंड:१.१.२ | जून 1, 2026 |
| npm | कन्व्हर्सा-एसडीके:२.०.२ | जून 1, 2026 |
| npm | वेल्ट्रिक्स:९.०.१ | जून 1, 2026 |
| npm | वेल्ट्रिक्स:९.०.१ | जून 1, 2026 |
| npm | jingmeideshishi:1.0.4 | जून 1, 2026 |
| npm | jingmeideshishi:1.0.5 | जून 1, 2026 |
| npm | @tse-digital/core:99.0.0 | जून 1, 2026 |
| npm | @telenor-se/core:99.0.0 | जून 1, 2026 |
| npm | @ownit/core:99.0.0 | जून 1, 2026 |
| npm | रुग्णांची कागदपत्रे:७५.०.० | जून 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | जून 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | जून 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | जून 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | जून 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | जून 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | जून 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | जून 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | जून 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | जून 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | जून 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | जून 2, 2026 |
| npm | आयवॉक्स:९.०.१ | जून 2, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 3, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 3, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 3, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 3, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 3, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | जून 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | जून 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | जून 4, 2026 |
| npm | निधी संकलन सर्व:१.०.० | जून 4, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 4, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 4, 2026 |
| npm | vg-interaction-model:40.0.5 | जून 4, 2026 |
| npm | internallib_v346:1.0.3 | जून 4, 2026 |
| npm | internallib_v346:1.0.5 | जून 4, 2026 |
| npm | internallib_v346:1.0.9 | जून 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 | जून 4, 2026 |
| npm | ai-sdk-helpers:0.3.0 | जून 4, 2026 |
| npm | ai-sdk-helpers:0.3.1 | जून 4, 2026 |
| npm | ai-sdk-helpers:1.1.0 | जून 4, 2026 |
| npm | ai-sdk-helpers:1.1.1 | जून 4, 2026 |
| npm | ai-sdk-helpers:1.3.0 | जून 4, 2026 |
| npm | ai-sdk-helpers:1.4.0 | जून 4, 2026 |
| npm | ai-sdk-helpers:1.4.2 | जून 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | जून 4, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
| npm | संवेदनशीलता:२.५.६९ | जून 5, 2026 |
तुमच्या ओपन सोर्स डिपेंडन्सींना असुरक्षितता आणि दुर्भावनापूर्ण कोडपासून सुरक्षित करा.
घातक पॅकेजेस तुमच्यापर्यंत पोहोचू देऊ नका pipelines. झायगेनी लवकर मालवेअर ओळख तुमच्या टीमला सर्वात महत्त्वाच्या धोक्यांची रिअल-टाइम माहिती देते, ज्यामुळे हानिकारक अवलंबित्व तुमच्या सॉफ्टवेअरपर्यंत पोहोचण्यापूर्वीच पकडले जाते.
या आठवड्याच्या सारांशातून स्पष्ट होते की, दुर्भावनापूर्ण पॅकेज मोहिमांचे प्रमाण आणि त्यातील अत्याधुनिकता कमी होत नाहीये. समन्वित व्हर्जन फ्लडिंग, पेमेंट मॉड्यूलची बनावट ओळख आणि अंतर्गत वाटणारी पॅकेज नावे, यांसारख्या काही युक्त्या हल्लेखोर सहज चुकवण्यासाठी वापरत आहेत. standard संरक्षण. या धोक्यांपासून पुढे राहण्यासाठी केवळ नियतकालिक तपासणी पुरेशी नाही, तर तुमच्या टीम्स अवलंबून असलेल्या प्रत्येक रजिस्ट्रीवर सतत देखरेख ठेवणे आवश्यक आहे.
झायजेनीचे Open Source Security हे सोल्यूशन प्रकाशनाच्या वेळीच, npm, PyPI आणि इतर माध्यमांवर हानिकारक पॅकेजेस स्कॅन करून ब्लॉक करते. सर्वात मोठा वास्तविक धोका निर्माण करणाऱ्या असुरक्षिततांना संदर्भानुसार प्राधान्य देऊन (आणि तुमच्या DevSecOps टीमसाठी निवारणाचा मार्ग सुलभ करून), Xygeni तुम्हाला विकासाचा वेग कमी न करता सुरक्षित, विश्वासार्ह सॉफ्टवेअर वितरण राखण्यास मदत करते.




