दुर्भावनापूर्ण कोड डायजेस्ट ७१

झायजेनी मॅलिशियस कोड डायजेस्ट ६२

अनुक्रमणिका

अवश्य वाचा

नवीनतम मनोरंजक पोस्ट्स

जवळजवळ प्रत्येक आठवड्यातआमची मालवेअर शोध प्रणाली npm आणि PyPI सारख्या सार्वजनिक रजिस्ट्रींवरील हजारो नवीन आणि अद्ययावत पॅकेजेस स्कॅन करते. हा आठवडा खूप सक्रिय होता.

आम्ही पुष्टी केली १३५ दुर्भावनापूर्ण पॅकेजेसमुख्यतः npm वर, तसेच PyPI, OpenVSX, Composer आणि VS Code एक्सटेंशन्समध्येही अतिरिक्त प्रकरणे आढळली. यापैकी अनेक प्रकरणे समन्वित समूहांमध्ये दिसून आली, ज्यात एकाच नावाखाली किंवा एकमेकांशी जवळून संबंधित पॅकेज फॅमिलींमध्ये वारंवार दुर्भावनापूर्ण आवृत्त्या प्रकाशित केल्या गेल्या. एक लक्षणीय प्रकरण होते... sensivity पॅकेज, ज्याने 2.5.x श्रेणीतील 60 हून अधिक आवृत्त रिलीझसह npm वर पूर आणला. इतर उल्लेखनीय क्लस्टर्समध्ये यांचा समावेश होता ai-sdk-helpers (एआय डेव्हलपर्सना लक्ष्य करून तयार केलेल्या ८ आवृत्त्या), @antoncallahan/aws-user-helper (AWS युटिलिटीचे रूप धारण करणाऱ्या ७ आवृत्त्या), @apple-pay-trust आणि @google-pay-trust कुटुंबे (पेमेंट चेकआउट मॉड्यूलची नक्कल करणारी), @frengki0707/google-cloud-clone (गुगल क्लाउडची नक्कल करणाऱ्या ५ आवृत्त्या), आणि cms-storehub, cms-helpgitआणि cms-github (सीएमएसला लक्ष्य करत आहे) pipelineअनेक पॅकेजेसनी पेमेंट आणि चेकआउट मॉड्यूल्सची नक्कल केली होती. enterprise आणि अंतर्गत वेब पॅकेजेस, ॲनालिटिक्स क्लायंट्स, UI फाऊंडेशन्स, डेव्हलपर युटिलिटीज, कंपोनंट एक्सप्लोरर्स, क्लाउड- आणि गूगल-थीम असलेली पॅकेजेस, आणि आधुनिक डेव्हलपमेंट वर्कफ्लोमध्ये सामान्यतः वापरले जाणारे इतर मॉड्यूल्स.

या काही तुरळक विसंगती नव्हत्या. या आठवड्यात जे प्रकर्षाने जाणवले ते म्हणजे, एकाच पॅकेज फॅमिलीमध्ये वारंवार होणारे प्रकाशन, नामकरण पद्धतींचा पुनर्वापर, आणि प्रत्यक्ष सॉफ्टवेअर डिलिव्हरीमध्ये दुर्भावनापूर्ण पॅकेजेसना वैध डिपेंडन्सीसारखे दिसण्यासाठी ज्या प्रकारे लपवले जात होते ते. pipelines.

हा साप्ताहिक आढावा आमच्या चालू असलेल्या 'मॅलिशियस कोड डायजेस्ट'चा एक भाग आहे, ज्यामध्ये आम्ही नवीन धोक्यांची पडताळणी करतो आणि डेव्हसेकऑप्स टीम्सना त्यांचे संरक्षण करण्यास मदत करण्यासाठी उपयुक्त माहिती पुरवतो. pipelineनुकसान होण्यापूर्वी.

या आठवड्यात आपल्याला काय आढळले आणि ते महत्त्वाचे का आहे, हे आपण सविस्तरपणे पाहूया.

घातक पॅकेजेसची पुष्टी
पर्यावरणातील पॅकेज तारीख
npm@cloudplatform-single-spa/administration:99.99.10030 शकते, 2026
npm@cloudplatform-single-spa/svp-s3-storage:99.99.10030 शकते, 2026
npm@maximvs1538/os-npm:99.0.030 शकते, 2026
npm@easy-entry/landing-routes:99.9.530 शकते, 2026
npm@easy-entry/outside-registration-fop-navigator:99.9.530 शकते, 2026
npm@easy-entry/routes:99.9.530 शकते, 2026
npm@t-in-one/form_product_token:5.7.130 शकते, 2026
npm@capibar.chat/ui-kit:99.5.730 शकते, 2026
vscodexampp-manager:5.1.330 शकते, 2026
npm@चॅट-टेम्पलेट/ऑथ:१.०.०31 शकते, 2026
npmjson-to-simple-graphql-schema:1.0.0जून 1, 2026
npm@gs-select/savings-client-application:99.0.0जून 1, 2026
npmनेमो-रिपोर्टर:१.८.२जून 1, 2026
npmसीएमएस-गिटहब:४.२.४जून 1, 2026
npmसीएमएस-हेल्पगिट:४.२.८जून 1, 2026
npmसीएमएस-हेल्पगिट:४.२.८जून 1, 2026
npmसीएमएस-स्टोअरहब:१.३.६जून 1, 2026
npmसीएमएस-स्टोअरहब:१.३.६जून 1, 2026
npmसीएमएस-स्टोअरहब:१.३.६जून 1, 2026
pypiसिमटूरियल-सीएलआय:०.३.०जून 1, 2026
npmरिटेल-लोकेशन-स्ट्रॅटेजी-फ्रंटएंड:१.१.२जून 1, 2026
npmरिटेल-लोकेशन-स्ट्रॅटेजी-फ्रंटएंड:१.१.२जून 1, 2026
npmकन्व्हर्सा-एसडीके:२.०.२जून 1, 2026
npmवेल्ट्रिक्स:९.०.१जून 1, 2026
npmवेल्ट्रिक्स:९.०.१जून 1, 2026
npmjingmeideshishi:1.0.4जून 1, 2026
npmjingmeideshishi:1.0.5जून 1, 2026
npm@tse-digital/core:99.0.0जून 1, 2026
npm@telenor-se/core:99.0.0जून 1, 2026
npm@ownit/core:99.0.0जून 1, 2026
npmरुग्णांची कागदपत्रे:७५.०.०जून 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.69जून 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.68जून 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.82जून 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.80जून 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.81जून 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.83जून 1, 2026
npm@antoncallahan/aws-user-helper:6767.67.3जून 1, 2026
npm@emcd-vue/auth:6.4.9जून 1, 2026
npm@emcd-vue/b2b-pay-form:5.7.4जून 1, 2026
npm@ccrm/user-storage-api-axios:5.0.1जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 2, 2026
npmmeoo-ui-helpers:1.0.1जून 2, 2026
npm@langgraphjs/toolkit:1.2.10जून 2, 2026
npmआयवॉक्स:९.०.१जून 2, 2026
npmसंवेदनशीलता:२.५.६९जून 3, 2026
npmसंवेदनशीलता:२.५.६९जून 3, 2026
npmसंवेदनशीलता:२.५.६९जून 3, 2026
npmसंवेदनशीलता:२.५.६९जून 3, 2026
npmसंवेदनशीलता:२.५.६९जून 3, 2026
npmसंवेदनशीलता:२.५.६९जून 3, 2026
npm@sentry-browser-sdk/profiling-node:1.0.1जून 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.2जून 4, 2026
npm@sentry-browser-sdk/profiling-node:1.0.5जून 4, 2026
npmनिधी संकलन सर्व:१.०.०जून 4, 2026
npmसंवेदनशीलता:२.५.६९जून 4, 2026
npmसंवेदनशीलता:२.५.६९जून 4, 2026
npmvg-interaction-model:40.0.5जून 4, 2026
npminternallib_v346:1.0.3जून 4, 2026
npminternallib_v346:1.0.5जून 4, 2026
npminternallib_v346:1.0.9जून 4, 2026
npmai-sdk-helpers:0.2.1जून 4, 2026
npmai-sdk-helpers:0.3.0जून 4, 2026
npmai-sdk-helpers:0.3.1जून 4, 2026
npmai-sdk-helpers:1.1.0जून 4, 2026
npmai-sdk-helpers:1.1.1जून 4, 2026
npmai-sdk-helpers:1.3.0जून 4, 2026
npmai-sdk-helpers:1.4.0जून 4, 2026
npmai-sdk-helpers:1.4.2जून 4, 2026
npm@achuthvp/postinstall-poc:1.0.3जून 4, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026
npmसंवेदनशीलता:२.५.६९जून 5, 2026


तुमच्या ओपन सोर्स डिपेंडन्सींना असुरक्षितता आणि दुर्भावनापूर्ण कोडपासून सुरक्षित करा.

घातक पॅकेजेस तुमच्यापर्यंत पोहोचू देऊ नका pipelines. झायगेनी लवकर मालवेअर ओळख तुमच्या टीमला सर्वात महत्त्वाच्या धोक्यांची रिअल-टाइम माहिती देते, ज्यामुळे हानिकारक अवलंबित्व तुमच्या सॉफ्टवेअरपर्यंत पोहोचण्यापूर्वीच पकडले जाते.

या आठवड्याच्या सारांशातून स्पष्ट होते की, दुर्भावनापूर्ण पॅकेज मोहिमांचे प्रमाण आणि त्यातील अत्याधुनिकता कमी होत नाहीये. समन्वित व्हर्जन फ्लडिंग, पेमेंट मॉड्यूलची बनावट ओळख आणि अंतर्गत वाटणारी पॅकेज नावे, यांसारख्या काही युक्त्या हल्लेखोर सहज चुकवण्यासाठी वापरत आहेत. standard संरक्षण. या धोक्यांपासून पुढे राहण्यासाठी केवळ नियतकालिक तपासणी पुरेशी नाही, तर तुमच्या टीम्स अवलंबून असलेल्या प्रत्येक रजिस्ट्रीवर सतत देखरेख ठेवणे आवश्यक आहे.

झायजेनीचे Open Source Security हे सोल्यूशन प्रकाशनाच्या वेळीच, npm, PyPI आणि इतर माध्यमांवर हानिकारक पॅकेजेस स्कॅन करून ब्लॉक करते. सर्वात मोठा वास्तविक धोका निर्माण करणाऱ्या असुरक्षिततांना संदर्भानुसार प्राधान्य देऊन (आणि तुमच्या DevSecOps टीमसाठी निवारणाचा मार्ग सुलभ करून), Xygeni तुम्हाला विकासाचा वेग कमी न करता सुरक्षित, विश्वासार्ह सॉफ्टवेअर वितरण राखण्यास मदत करते.

sca-tools-software-composition-analysis-tools
तुमच्या सॉफ्टवेअरमधील धोक्यांना प्राधान्य द्या, त्यांचे निवारण करा आणि त्यांना सुरक्षित करा.
आपले मोफत खाते मिळवा.
क्रेडिट कार्ड आवश्यक नाही.

तुमचा सॉफ्टवेअर विकास आणि वितरण सुरक्षित करा

झायगेनी प्रोडक्ट सूटसह