जवळजवळ प्रत्येक आठवड्यातआमची मालवेअर शोध प्रणाली npm आणि PyPI सारख्या सार्वजनिक रजिस्ट्रींवरील हजारो नवीन आणि अद्ययावत पॅकेजेस स्कॅन करते. हा आठवडाही त्याला अपवाद नव्हता.
आम्ही ७ जून ते १२ जून २०२६ दरम्यान १३० हून अधिक दुर्भावनापूर्ण पॅकेजेसची पुष्टी केली, जी प्रामुख्याने npm वर होती, तसेच PyPI मध्येही अतिरिक्त प्रकरणे आढळली. यांपैकी अनेक पॅकेजेस समन्वित समूहांमध्ये, एकाच नावाखाली किंवा एकमेकांशी जवळून संबंधित असलेल्या पॅकेज कुटुंबांमध्ये प्रकाशित झालेल्या पुनरावृत्त दुर्भावनापूर्ण आवृत्त्यांमध्ये आढळली.
या आठवड्यातील लक्षवेधी प्रकरण होते sensivityज्यामुळे 2.5.x श्रेणीतील 40 हून अधिक आवृत्त रिलीझसह npm वर पूर आला, याची अनेक दिवसांपासून पुष्टी झाली. इतर उल्लेखनीय क्लस्टर्समध्ये एका लाटेचा समावेश होता @solana-labs ७ जून आणि ८ जून रोजी दोन वेगवेगळ्या प्रकाशन मोहिमांद्वारे सोलाना इकोसिस्टमला (web3.js, web3-js, etherjs, spl-toke, ancor, web3js) लक्ष्य करणारे टायपोस्क्वॅट्स. @nstrlabs कुटुंब (एसडीके, आयएक्सएल, युटिल्स, शेअर्ड-कंपोनेंट्स, एपीआय-क्लायंट, ऑथ — अंतर्गत पॅकेज नेमस्पेसवर अवलंबित्व गोंधळाचा हल्ला), @klapp-login-platform गट (नेटिव्ह-एसडीके, ओआयडीसी, रूट्स — प्रमाणीकरण प्लॅटफॉर्मचे रूप धारण करणे), internallib_v557 आणि internallib_v984 (अस्पष्ट केलेल्या अंतर्गत लायब्ररी तोतयांच्या अनेक आवृत्त्या), pocteszep (११ जून रोजी ६ आवृत्त्या प्रकाशित), आणि क्रिप्टो व वेब३ युटिलिटीजचा एक समूह, ज्यामध्ये यांचा समावेश आहे blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87आणि farming-tools-12. अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना morningstar-design-system १० जून रोजी, एका सुप्रसिद्ध आर्थिक डिझाइन प्रणालीचे रूप धारण करून, हे पॅकेज तीन आवृत्त्यांमध्ये दिसले. PyPI मध्ये, helixagentai, telegramliteआणि cdjeez आठवडाभरात याची पुष्टी झाली.
या तुरळक विसंगती नव्हत्या. या आठवड्यात जी गोष्ट प्रकर्षाने जाणवली ती म्हणजे, अंतर्गत पॅकेज नेमस्पेसेसवर झालेल्या डिपेंडन्सी कन्फ्युजन हल्ल्यांचे केंद्रीकरण, आणि अनेक दिवस सातत्याने सुरू असलेले प्रकाशन... sensivity क्लस्टर, आणि वेब3 व सोलाना टूलिंगला लक्ष्य करणे सुरूच आहे, ही एक अशी पद्धत आहे ज्यात २०२६ मध्ये लक्षणीय वाढ झाली आहे.
हा साप्ताहिक आढावा आमच्या चालू असलेल्या 'मॅलिशियस कोड डायजेस्ट'चा एक भाग आहे, ज्यामध्ये आम्ही नवीन धोक्यांची पडताळणी करतो आणि डेव्हसेकऑप्स टीम्सना त्यांचे संरक्षण करण्यास मदत करण्यासाठी उपयुक्त माहिती पुरवतो. pipelineनुकसान होण्यापूर्वी.
या आठवड्यात आपल्याला काय आढळले आणि ते महत्त्वाचे का आहे, हे आपण सविस्तरपणे पाहूया.
हानिकारक पॅकेजेस उत्पादनापर्यंत पोहोचू देऊ नका
तुमचे संघ ज्या पॅकेजेसवर अवलंबून आहेत, त्यांचा वापर आता प्रवेश बिंदू म्हणून वाढत्या प्रमाणात केला जात आहे. झायगेनी लवकर मालवेअर ओळख रजिस्ट्रींवर रिअल-टाइममध्ये लक्ष ठेवले जाते, त्यामुळे या आठवड्याच्या माहितीमध्ये नमूद केलेल्यांसारखे धोके तुमच्या बिल्ड्सपर्यंत पोहोचण्यापूर्वीच रोखले जातात.
या आठवड्यातील निष्कर्ष ही एक आठवण करून देतात की डावपेच अधिक हेतुपुरस्सर होत चालले आहेत. व्हर्जन फ्लडिंग, नेमस्पेस बनावटगिरी आणि अनेक दिवस चालणाऱ्या समन्वित मोहिमा या आता अपवादात्मक घटना राहिलेल्या नाहीत, त्या आता नित्याच्याच झाल्या आहेत. standard हल्लेखोरांची कार्यपद्धती. एकाच वेळी अनेक दिवसांत आणि अनेक रजिस्ट्रींमध्ये डझनभर आवृत्त्या प्रकाशित करणाऱ्या मोहिमांचा वेग एक-वेळचे स्कॅन आणि मॅन्युअल ऑडिट्स सांभाळू शकत नाहीत.
झायजेनीचे Open Source Security हे सोल्यूशन तुमच्या DevSecOps टीम्सना npm, PyPI आणि इतर प्लॅटफॉर्मवर सतत दृश्यमानता देते, ज्यामुळे हानिकारक पॅकेजेस प्रकाशित होताच शोधले जातात, खऱ्या अर्थाने शोषणाचा धोका कशामुळे निर्माण होतो याला प्राधान्य दिले जाते आणि शोध लागण्यापासून ते उपाययोजना करण्यापर्यंतचा मार्ग लहान होतो. त्यामुळे तुमच्या टीम्स सुरक्षेशी तडजोड न करता वेगाने उत्पादने बाजारात आणू शकतात.




