दर आठवड्यालाआमची मालवेअर शोध प्रणाली npm आणि PyPI सारख्या सार्वजनिक रजिस्ट्रींवरील हजारो नवीन आणि अद्ययावत पॅकेजेस स्कॅन करते. हा आठवडाही त्याला अपवाद नव्हता.
आम्ही १२ जून ते १९ जून २०२६ या कालावधीत २०० हून अधिक दुर्भावनापूर्ण पॅकेजेसची पुष्टी केली, जी प्रामुख्याने npm वर होती, तसेच PyPI मध्येही काही अतिरिक्त प्रकरणे आढळली. यांपैकी अनेक पॅकेजेस समन्वित समूहांमध्ये, एकाच नावाखाली किंवा एकमेकांशी जवळून संबंधित असलेल्या पॅकेज कुटुंबांमध्ये प्रकाशित झालेल्या दुर्भावनापूर्ण आवृत्त्यांच्या पुनरावृत्तीमध्ये आढळली.
या आठवड्यातील लक्षवेधी प्रकरण होते sensivityज्यामुळे 2.5.x श्रेणीतील 70 हून अधिक आवृत्त रिलीझसह npm वर पूर आला, याची अनेक दिवसांपासून पुष्टी झाली. इतर उल्लेखनीय क्लस्टर्समध्ये एका लाटेचा समावेश होता @solana-labs सोलाना परिसंस्थेला लक्ष्य करणारे टायपोस्क्वॅट्सweb3.js, web3-js, etherjs, spl-toke, ancor, web3js — ७ जून आणि ८ जून रोजी दोन वेगवेगळ्या प्रकाशन मोहिमांद्वारे), @nstrlabs कुटुंब (sdk, ixel, utils, shared-components, api-client, auth — अंतर्गत पॅकेज नेमस्पेसवर केलेला डिपेंडन्सी कन्फ्युजन हल्ला), @klapp-login-platform गट (native-sdk, oidc, routes — प्रमाणीकरण प्लॅटफॉर्मचे रूप धारण करणे), internallib_v557 आणि internallib_v984 (अस्पष्ट केलेल्या अंतर्गत लायब्ररी तोतयांच्या अनेक आवृत्त्या), pocteszep (११ जून रोजी ६ आवृत्त्या प्रकाशित), आणि क्रिप्टो व वेब३ युटिलिटीजचा एक समूह, ज्यामध्ये यांचा समावेश आहे blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87आणि farming-tools-12. अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना morningstar-design-system हे पॅकेज १० जून रोजी एका सुप्रसिद्ध आर्थिक डिझाइन प्रणालीचे रूप धारण करून तीन आवृत्त्यांमध्ये दिसले.
१३ जूनपासून वेग वाढला. houzidawang806 एकाच क्लस्टरमध्ये एका दिवसात २५ हून अधिक आवृत्त्या प्रकाशित झाल्या, ज्यामध्ये त्याचे इतर भावंडही सामील होते. houzidawang807 आणि houzidawang808. अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना metrics-pipeline-d8k2 १५ जून ते १८ जून दरम्यान हे पॅकेज २१ आवृत्त्यांमध्ये सतत पुनर्प्रकाशित करण्यात आले — ब्लॉकलिस्टच्या पुढे राहण्यासाठी आखलेली ही एक दीर्घकाळ चालणारी टाळाटाळीची मोहीम होती. friendly-greeter-demo आठवडाभर पॅकेज वेगवेगळ्या आवृत्त्यांमध्ये पुन्हा पुन्हा दिसून येत होते. नवीन डिपेंडेंसी गोंधळाचे प्रयत्न समोर आले. xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesआणि इतर अनेक — या सर्वांचे आवृत्ती क्रमांक 999.x च्या श्रेणीत फुगवलेले आहेत. यादृच्छिक हेक्स प्रत्यय असलेल्या सामान्य युटिलिटी नावांचा एक नवीन समूह (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) १८-१९ जून रोजी दिसले, जे पूर्वनियोजित मोठ्या प्रमाणातील नोंदणीशी सुसंगत होते. आठवड्याचा शेवट यासह झाला trimprompt, trimprompt-hub, claude-cupआणि web3-crypto-address-utils १९ जून रोजी पुष्टी झाली. PyPI मध्ये, neuralbridge-sdk (४.५.x–५.१.x मध्ये पसरलेल्या पाच आवृत्त्या), deepstrain, teambot-ai, hello-test-s1आणि aiaddin-agent आठवडाभरात याची पुष्टी झाली.
या काही तुरळक विसंगती नव्हत्या. या आठवड्यात जे प्रकर्षाने दिसून आले ते म्हणजे, अंतर्गत पॅकेज नेमस्पेसेसवर होणाऱ्या डिपेंडन्सी कन्फ्युजन हल्ल्यांचे केंद्रीकरण, कारवाईनंतरही टिकून राहण्यासाठी आखलेल्या अनेक दिवस चालणाऱ्या सातत्यपूर्ण प्रकाशन मोहिमा, वेब३ आणि डीफाय टूलिंगला लक्ष्य करण्याचे सातत्यपूर्ण प्रयत्न (२०२६ मध्ये या पद्धतीला लक्षणीय गती मिळाली आहे), आणि सामान्य डिपेंडन्सी ट्रीमध्ये मिसळून जाऊन ओळख टाळण्यासाठी तयार केलेल्या, सर्वसाधारण, गोंधळासारख्या पॅकेज नावांचा वाढता वापर.
हा साप्ताहिक आढावा आमच्या चालू असलेल्या 'मॅलिशियस कोड डायजेस्ट'चा एक भाग आहे, ज्यामध्ये आम्ही नवीन धोक्यांची पडताळणी करतो आणि डेव्हसेकऑप्स टीम्सना त्यांचे संरक्षण करण्यास मदत करण्यासाठी उपयुक्त माहिती पुरवतो. pipelineनुकसान होण्यापूर्वी. या आठवड्यात आम्हाला काय आढळले आणि ते महत्त्वाचे का आहे, हे सविस्तरपणे पाहूया.
समन्वित मोहिमांना तुमच्यापर्यंत पोहोचू देऊ नका Pipelines
या आठवड्याचा अहवाल केवळ एका धोक्याबद्दल नव्हता; तो त्याच्या व्याप्तीबद्दल होता. २०० हून अधिक पुष्टी झालेले पॅकेजेस, अनेक दिवसांपासून सतत होणारा व्हर्जनचा भडिमार, आणि मॅन्युअल तपासणीच्या आवाक्याबाहेर वेगाने चालणाऱ्या पूर्वनियोजित मोठ्या प्रमाणातील नोंदणी मोहिमा. हल्लेखोर तुम्ही त्यांना पकडण्याची वाट पाहत नाहीत.
झायगेनी लवकर मालवेअर ओळख हे npm, PyPI आणि इतर रजिस्ट्रींवर सतत लक्ष ठेवते, आणि धोके बिल्डमध्ये आल्यानंतर नव्हे, तर ते प्रकाशित होताच सूचित करते. जेव्हा एखादी मोहीम चार दिवसांत एकाच दुर्भावनापूर्ण पॅकेजच्या २१ आवृत्त्या प्रकाशित करते, तेव्हा साप्ताहिक स्कॅनमध्ये वेळेत काहीही सापडत नाही.
झायजेनीचे Open Source Security हे सोल्यूशन तुमच्या DevSecOps टीम्सना नेमक्या याच प्रकारच्या समन्वित दबावाच्या पुढे राहण्यासाठी आवश्यक असलेली रिअल-टाइम दृश्यमानता आणि प्राधान्यक्रम देते, जेणेकरून तुमचे pipelineआपल्या संघाचा वेग कमी न करता स्वच्छ राहा.




