दुर्भावनापूर्ण कोड डायजेस्ट ७१

झायजेनी मॅलिशियस कोड डायजेस्ट ६२

अनुक्रमणिका

अवश्य वाचा

नवीनतम मनोरंजक पोस्ट्स

दर आठवड्यालाआमची मालवेअर शोध प्रणाली npm आणि PyPI सारख्या सार्वजनिक रजिस्ट्रींवरील हजारो नवीन आणि अद्ययावत पॅकेजेस स्कॅन करते. हा आठवडाही त्याला अपवाद नव्हता.

आम्ही १२ जून ते १९ जून २०२६ या कालावधीत २०० हून अधिक दुर्भावनापूर्ण पॅकेजेसची पुष्टी केली, जी प्रामुख्याने npm वर होती, तसेच PyPI मध्येही काही अतिरिक्त प्रकरणे आढळली. यांपैकी अनेक पॅकेजेस समन्वित समूहांमध्ये, एकाच नावाखाली किंवा एकमेकांशी जवळून संबंधित असलेल्या पॅकेज कुटुंबांमध्ये प्रकाशित झालेल्या दुर्भावनापूर्ण आवृत्त्यांच्या पुनरावृत्तीमध्ये आढळली.

या आठवड्यातील लक्षवेधी प्रकरण होते sensivityज्यामुळे 2.5.x श्रेणीतील 70 हून अधिक आवृत्त रिलीझसह npm वर पूर आला, याची अनेक दिवसांपासून पुष्टी झाली. इतर उल्लेखनीय क्लस्टर्समध्ये एका लाटेचा समावेश होता @solana-labs सोलाना परिसंस्थेला लक्ष्य करणारे टायपोस्क्वॅट्सweb3.js, web3-js, etherjs, spl-toke, ancor, web3js — ७ जून आणि ८ जून रोजी दोन वेगवेगळ्या प्रकाशन मोहिमांद्वारे), @nstrlabs कुटुंब (sdk, ixel, utils, shared-components, api-client, auth — अंतर्गत पॅकेज नेमस्पेसवर केलेला डिपेंडन्सी कन्फ्युजन हल्ला), @klapp-login-platform गट (native-sdk, oidc, routes — प्रमाणीकरण प्लॅटफॉर्मचे रूप धारण करणे), internallib_v557 आणि internallib_v984 (अस्पष्ट केलेल्या अंतर्गत लायब्ररी तोतयांच्या अनेक आवृत्त्या), pocteszep (११ जून रोजी ६ आवृत्त्या प्रकाशित), आणि क्रिप्टो व वेब३ युटिलिटीजचा एक समूह, ज्यामध्ये यांचा समावेश आहे blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87आणि farming-tools-12. अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना morningstar-design-system हे पॅकेज १० जून रोजी एका सुप्रसिद्ध आर्थिक डिझाइन प्रणालीचे रूप धारण करून तीन आवृत्त्यांमध्ये दिसले.

१३ जूनपासून वेग वाढला. houzidawang806 एकाच क्लस्टरमध्ये एका दिवसात २५ हून अधिक आवृत्त्या प्रकाशित झाल्या, ज्यामध्ये त्याचे इतर भावंडही सामील होते. houzidawang807 आणि houzidawang808. अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना metrics-pipeline-d8k2 १५ जून ते १८ जून दरम्यान हे पॅकेज २१ आवृत्त्यांमध्ये सतत पुनर्प्रकाशित करण्यात आले — ब्लॉकलिस्टच्या पुढे राहण्यासाठी आखलेली ही एक दीर्घकाळ चालणारी टाळाटाळीची मोहीम होती. friendly-greeter-demo आठवडाभर पॅकेज वेगवेगळ्या आवृत्त्यांमध्ये पुन्हा पुन्हा दिसून येत होते. नवीन डिपेंडेंसी गोंधळाचे प्रयत्न समोर आले. xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesआणि इतर अनेक — या सर्वांचे आवृत्ती क्रमांक 999.x च्या श्रेणीत फुगवलेले आहेत. यादृच्छिक हेक्स प्रत्यय असलेल्या सामान्य युटिलिटी नावांचा एक नवीन समूह (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) १८-१९ जून रोजी दिसले, जे पूर्वनियोजित मोठ्या प्रमाणातील नोंदणीशी सुसंगत होते. आठवड्याचा शेवट यासह झाला trimprompt, trimprompt-hub, claude-cupआणि web3-crypto-address-utils १९ जून रोजी पुष्टी झाली. PyPI मध्ये, neuralbridge-sdk (४.५.x–५.१.x मध्ये पसरलेल्या पाच आवृत्त्या), deepstrain, teambot-ai, hello-test-s1आणि aiaddin-agent आठवडाभरात याची पुष्टी झाली.

या काही तुरळक विसंगती नव्हत्या. या आठवड्यात जे प्रकर्षाने दिसून आले ते म्हणजे, अंतर्गत पॅकेज नेमस्पेसेसवर होणाऱ्या डिपेंडन्सी कन्फ्युजन हल्ल्यांचे केंद्रीकरण, कारवाईनंतरही टिकून राहण्यासाठी आखलेल्या अनेक दिवस चालणाऱ्या सातत्यपूर्ण प्रकाशन मोहिमा, वेब३ आणि डीफाय टूलिंगला लक्ष्य करण्याचे सातत्यपूर्ण प्रयत्न (२०२६ मध्ये या पद्धतीला लक्षणीय गती मिळाली आहे), आणि सामान्य डिपेंडन्सी ट्रीमध्ये मिसळून जाऊन ओळख टाळण्यासाठी तयार केलेल्या, सर्वसाधारण, गोंधळासारख्या पॅकेज नावांचा वाढता वापर.

हा साप्ताहिक आढावा आमच्या चालू असलेल्या 'मॅलिशियस कोड डायजेस्ट'चा एक भाग आहे, ज्यामध्ये आम्ही नवीन धोक्यांची पडताळणी करतो आणि डेव्हसेकऑप्स टीम्सना त्यांचे संरक्षण करण्यास मदत करण्यासाठी उपयुक्त माहिती पुरवतो. pipelineनुकसान होण्यापूर्वी. या आठवड्यात आम्हाला काय आढळले आणि ते महत्त्वाचे का आहे, हे सविस्तरपणे पाहूया.

पर्यावरणातील पॅकेज पुष्टी
npmएक्टो-कॉर्सेअर-व्हिस्पर-6f3b9:1.0.18जून 12, 2026
npmएक्टो-कॉर्सेअर-व्हिस्पर-6f3b9:1.0.17जून 12, 2026
npmएक्टो-नाईटली-स्पिरिट:१.१.०जून 12, 2026
npmएक्टो-कॉर्सेअर-फ्लॅग-x9m4:1.0.0जून 12, 2026
npmएक्टो-रस्ट-रीड-एफ३ए९सी१:१.०.१जून 12, 2026
npmएक्टो-कॉर्सेअर-व्हिस्पर-6f3b9:1.0.16जून 12, 2026
npmएक्टो-रस्ट-रीड-एफ३ए९सी१:१.०.१जून 12, 2026
npmएक्टो-कॉर्सेअर-व्हिस्पर-6f3b9:1.0.15जून 12, 2026
npmएक्टो-कॉर्सेअर-व्हिस्पर-6f3b9:1.0.14जून 12, 2026
npminternallib_v984:1.0.3जून 15, 2026
npminternallib_v984:1.0.4जून 15, 2026
npminternallib_v984:1.0.2जून 15, 2026
npminternallib_v557:1.0.4जून 15, 2026
npminternallib_v557:1.0.7जून 15, 2026
npminternallib_v557:1.0.9जून 15, 2026
npminternallib_v557:1.0.10जून 15, 2026
npminternallib_v557:1.0.15जून 15, 2026
npminternallib_v557:1.0.16जून 15, 2026
npminternallib_v557:1.0.18जून 15, 2026
npmकोरल-व्रैथ:१.०.०जून 12, 2026
npminternallib_v557:1.0.21जून 15, 2026
npminternallib_v557:1.0.22जून 15, 2026
npmnpm-sandbox-research-d7e8:1.0.0जून 18, 2026
npmnpm-sandbox-research-a1b2:1.0.0जून 18, 2026
npmnpm-sandbox-research-c5d6:1.0.0जून 18, 2026
npmnpm-sandbox-research-9c4e:1.0.0जून 18, 2026
npmnpm-sandbox-research-8b2f:1.0.0जून 18, 2026
npmnpm-sandbox-research-e9f0:1.0.0जून 18, 2026
npmnpm-sandbox-research-f1g2:1.0.0जून 18, 2026
npmटीएससी-मेश:१.०.१जून 13, 2026
npmमैत्रीपूर्ण-स्वागतकर्ता-डेमो:१.०.१४जून 13, 2026
npmमैत्रीपूर्ण-स्वागतकर्ता-डेमो:१.०.१४जून 13, 2026
npmमैत्रीपूर्ण-स्वागतकर्ता-डेमो:१.०.१४जून 13, 2026
npmमैत्रीपूर्ण-स्वागतकर्ता-डेमो:१.०.१४जून 13, 2026
npmमैत्रीपूर्ण-स्वागतकर्ता-डेमो:१.०.१४जून 13, 2026
npmटीएससी-एआय:१.२.०जून 13, 2026
npmटीएससी-लोटल:१.०.२जून 13, 2026
npmटीएससी-मेश:१.०.१जून 13, 2026
npmटीएससी-एआय:१.२.०जून 13, 2026
pypiन्यूरलब्रिज-एसडीके:५.६.११जून 13, 2026
npmnpm-sandbox-research-g3h4:1.0.0जून 18, 2026
npmपोस्टइन्स्टॉल-लॉगर-7x9z:1.0.0जून 18, 2026
npmhouzidawang806:1.0.0जून 13, 2026
pypiन्यूरलब्रिज-एसडीके:५.६.११जून 13, 2026
pypiन्यूरलब्रिज-एसडीके:५.६.११जून 13, 2026
npmhouzidawang806:1.0.1जून 13, 2026
npmhouzidawang806:1.0.2जून 13, 2026
npmhouzidawang806:1.0.3जून 13, 2026
npmhouzidawang806:1.0.4जून 13, 2026
npmhouzidawang806:1.0.5जून 13, 2026
npmhouzidawang806:1.0.6जून 13, 2026
npmhouzidawang806:1.0.7जून 13, 2026
npmhouzidawang806:1.0.9जून 13, 2026
npmhouzidawang806:1.1.0जून 13, 2026
npmhouzidawang806:1.1.1जून 13, 2026
npmhouzidawang806:1.1.2जून 13, 2026
npmhouzidawang806:1.1.3जून 13, 2026
npmhouzidawang806:1.1.4जून 13, 2026
npmhouzidawang806:1.1.5जून 13, 2026
pypiन्यूरलब्रिज-एसडीके:५.६.११जून 13, 2026
npmhouzidawang807:1.1.6जून 13, 2026
npmhouzidawang806:1.1.6जून 13, 2026
npmhouzidawang808:1.0.0जून 13, 2026
npmhouzidawang806:1.1.7जून 13, 2026
npmhouzidawang806:1.1.8जून 13, 2026
npmhouzidawang806:1.2.0जून 13, 2026
pypiन्यूरलब्रिज-एसडीके:५.६.११जून 13, 2026
npmhouzidawang806:1.2.1जून 13, 2026
npmhouzidawang806:1.2.3जून 13, 2026
npmhouzidawang806:1.2.4जून 13, 2026
npmhouzidawang806:1.2.5जून 13, 2026
npmhouzidawang806:1.2.6जून 13, 2026
pypiन्यूरलब्रिज-एसडीके:५.६.११जून 13, 2026
pypiडीपस्ट्रेन:१.१.०जून 13, 2026
npm@jisan901/teamfocus:1.0.3जून 13, 2026
npmxy-shared:999.0.0जून 14, 2026
npmaxl-ui:9.9.99जून 14, 2026
npmलोडनिंजा-शेअर्ड:९.९.९९जून 14, 2026
npmnpx-whoami-demo:1.0.0जून 14, 2026
npm@jisan901/teamfocus:1.0.4जून 14, 2026
npmनॅनो-पर्फ:२.२.०जून 14, 2026
npmटीएन-जाहिरात:५.०.१जून 14, 2026
npmकिजाई:०.०.२जून 15, 2026
npmटोकन-किंमत-क्रॉन:९९९.०.०जून 15, 2026
npmहेमी-सप्लाय-क्रॉन:९९९.०.०जून 15, 2026
npmपोर्टल-बॅकएंड:९९९.०.०जून 15, 2026
npmव्हॉल्ट-स्ट्रॅटेजी:९९९.०.०जून 15, 2026
npmअर्ध-कमाई-कृती:९९९.०.०जून 15, 2026
npmव्हॉल्ट्स-मॉनिटर-क्रॉन:९९९.०.०जून 15, 2026
npmवे-हेमी-रिवॉर्ड्स:९९९.०.०जून 15, 2026
npmnic-datagov:1.0.0जून 16, 2026
npmओजीडी-ॲनालिटिक्स:१.०.०जून 16, 2026
npmओजीडी-प्लॅटफॉर्म:१.०.०जून 16, 2026
npmडीएमएस-बॅकएंड:१.०.०जून 16, 2026
npmमैत्रीपूर्ण-स्वागतकर्ता-डेमो:१.०.१४जून 16, 2026
npmमैत्रीपूर्ण-स्वागतकर्ता-डेमो:१.०.१४जून 16, 2026
npmकार्डानो-अ‍ॅड्रेसेस-डॉक्स:१.०.१जून 16, 2026
npmबोडेगा-एसडीके:९.९.९जून 16, 2026
npmफ्लो-लेंडिंग-एसडीके:९.९.९जून 16, 2026
npmप्रवाह-कर्ज:९.९.९जून 16, 2026
npmसर्फ-लेंडिंग:९.९.९जून 16, 2026
npmजानुस-एफटी:१.०.०जून 16, 2026
npmजानुस-फ्लो:१.०.०जून 16, 2026
npmजानुस-ईआरसी२०:१.०.०जून 16, 2026
npmफ्लोकार्डानो:९.९.९जून 16, 2026
npmफ्लोडेफी:९.९.९जून 16, 2026
pypiहॅलो-टेस्ट-एस१:०.३.१जून 16, 2026
npmpkg-telemetry-r4f9:1.0.0जून 18, 2026
npmमेलकन्फर्मर:३.३.४८जून 16, 2026
npmकॅरोसेल-कंट्रोलर-मिक्सिन:९९९.०.०जून 16, 2026
npmरनटाइम-मेट्रिक्स-डब्ल्यू७के२:१.०.०जून 18, 2026
npmमेलकन्फर्मर:३.३.४८जून 16, 2026
npmबिल्ड-ट्रॅकर-एन५पी१:१.०.०जून 16, 2026
npmnpm-sandbox-ping-r9t2:1.0.0जून 18, 2026
npmइव्हेंट-मेट्रिक्स-q3x7:1.0.2जून 16, 2026
npmइव्हेंट-मेट्रिक्स-q3x7:1.0.1जून 16, 2026
npmइव्हेंट-मेट्रिक्स-q3x7:1.0.0जून 16, 2026
npmइव्हेंट-मेट्रिक्स-q3x7:1.0.3जून 16, 2026
npmइव्हेंट-मेट्रिक्स-q3x7:1.0.4जून 16, 2026
npmइव्हेंट-मेट्रिक्स-q3x7:1.0.5जून 16, 2026
npmइव्हेंट-मेट्रिक्स-q3x7:1.0.6जून 16, 2026
npmइव्हेंट-मेट्रिक्स-q3x7:1.0.7जून 16, 2026
npmइव्हेंट-मेट्रिक्स-q3x7:1.0.8जून 16, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.0जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.1जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.2जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.3जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.4जून 18, 2026
pypiटीमबॉट-एआय:१.४८.०जून 17, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.5जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.6जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.7जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.8जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.9जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.10जून 18, 2026
npmमैत्रीपूर्ण-स्वागतकर्ता-डेमो:१.०.१४जून 17, 2026
npmमैत्रीपूर्ण-स्वागतकर्ता-डेमो:१.०.१४जून 17, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.11जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.12जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.13जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.14जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.15जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.16जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.17जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.18जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.19जून 18, 2026
npmमेट्रिक्स-pipeline-d8k2:1.0.20जून 18, 2026
npmक्रिप्टोडाओ-कॉन्ट्रॅक्ट्स:९९.९९.९९जून 17, 2026
npmक्रिप्टोडाओ-टाइप्स:९९.९९.९९जून 17, 2026
npmक्रिप्टोडाओ-कॉन्फिग:९९.९९.९९जून 17, 2026
npmक्रिप्टोडाओ-यूटिल्स:९९.९९.९९जून 17, 2026
npmक्रिप्टोडाओ-बॅकएंड:९९.९९.९९जून 17, 2026
npmक्रिप्टोडाओ-एसडीके:९९.९९.९९जून 17, 2026
npmक्रिप्टोडाओ-कोर:९९.९९.९९जून 17, 2026
npmक्रिप्टोडाओ-बॉट:९९.९९.९९जून 17, 2026
npmक्रिप्टोडाओ-साइनर:९९.९९.९९जून 17, 2026
npmक्रिप्टोडाओ-डिप्लॉय:९९.९९.९९जून 17, 2026
npmमेट्रिक्स-प्रोब-64b2:1.0.0जून 18, 2026
npmमेट्रिक्स-प्रोब-डीसी८५:१.०.०जून 18, 2026
npmमेट्रिक्स-प्रोब-77d4:1.0.0जून 18, 2026
npm@public-for-cdao/core:99.99.99जून 17, 2026
npmमेट्रिक्स-प्रोब-८८एडी:१.०.०जून 18, 2026
npmwrspati:0.1.0जून 18, 2026
npmebpf-ट्रॅकर-ॲक्शन:1.0.1जून 18, 2026
npm@azure-lab-services/ml-ts:99.0.0जून 18, 2026
npmप्रयोगशाळा-सेवा:९९.०.०जून 18, 2026
npmकेवळ स्कॅन:१.०.०जून 18, 2026
npmकेवळ स्कॅन:१.०.०जून 18, 2026
npmकेवळ स्कॅन:१.०.०जून 18, 2026
npmकेवळ स्कॅन:१.०.०जून 18, 2026
npm@muaththir/api:2.0.0जून 18, 2026
npmबॅकऑफिस-चार्जेस-मॉड्यूल:२.९९९.०जून 18, 2026
npmबॅकऑफिस-चार्जेस-मॉड्यूल:२.९९९.०जून 18, 2026
npmकेवळ स्कॅन:१.०.०जून 18, 2026
npmकेवळ स्कॅन:१.०.०जून 18, 2026
npmकेवळ स्कॅन:१.०.०जून 18, 2026
npmकेवळ स्कॅन:१.०.०जून 18, 2026
npmनॅनो-पर्फ:२.२.०जून 18, 2026
npmनॅनो-पर्फ:२.२.०जून 18, 2026
npmनॅनो-पर्फ:२.२.०जून 18, 2026
npmनॅनो-पर्फ:२.२.०जून 18, 2026
npmमेट्रिक्स-प्रोब-एफ२५६:१.०.०जून 18, 2026
npmकलर-यूटिल्स-डी०:१.०.०जून 18, 2026
npmडेटा-यूटिल्स-डी७०३:१.०.०जून 18, 2026
npmस्ट्रिंग-टूल्स-बीई६सी:१.०.०जून 18, 2026
npmप्रकार-तपासणी-816d:1.0.0जून 18, 2026
npmfmt-helpers-794b:1.0.0जून 18, 2026
npmडेटाकॅम्प-लाइट:१.०.०जून 18, 2026
npmडेटा-यूटिल्स-बीसीएफ२:१.०.०जून 19, 2026
npmस्ट्रीम-रीड-35cf:1.0.0जून 19, 2026
npmडेल्टा-टाइम-32bb:1.0.0जून 19, 2026
npmसुरक्षित-जेसन-३८बीडी:१.०.०जून 19, 2026
npmहेक्स-कॉन्व्ह-एई७ए:१.०.०जून 19, 2026
npmबफर-रॅप-67d7:1.0.0जून 19, 2026
npmट्रिमप्रॉम्प्ट:१.०.१७जून 19, 2026
npmट्रिमप्रॉम्प्ट:१.०.१७जून 19, 2026
npmट्रिमप्रॉम्प्ट-हब:१.०.१जून 19, 2026
npmक्लॉड-कप:०.८.६जून 19, 2026
pypiआयद्दीन-एजंट:०.१.०जून 19, 2026
npmवेब3-क्रिप्टो-अ‍ॅड्रेस-यूटिल्स:0.1.0जून 19, 2026

समन्वित मोहिमांना तुमच्यापर्यंत पोहोचू देऊ नका Pipelines

या आठवड्याचा अहवाल केवळ एका धोक्याबद्दल नव्हता; तो त्याच्या व्याप्तीबद्दल होता. २०० हून अधिक पुष्टी झालेले पॅकेजेस, अनेक दिवसांपासून सतत होणारा व्हर्जनचा भडिमार, आणि मॅन्युअल तपासणीच्या आवाक्याबाहेर वेगाने चालणाऱ्या पूर्वनियोजित मोठ्या प्रमाणातील नोंदणी मोहिमा. हल्लेखोर तुम्ही त्यांना पकडण्याची वाट पाहत नाहीत.

झायगेनी लवकर मालवेअर ओळख हे npm, PyPI आणि इतर रजिस्ट्रींवर सतत लक्ष ठेवते, आणि धोके बिल्डमध्ये आल्यानंतर नव्हे, तर ते प्रकाशित होताच सूचित करते. जेव्हा एखादी मोहीम चार दिवसांत एकाच दुर्भावनापूर्ण पॅकेजच्या २१ आवृत्त्या प्रकाशित करते, तेव्हा साप्ताहिक स्कॅनमध्ये वेळेत काहीही सापडत नाही.

झायजेनीचे Open Source Security हे सोल्यूशन तुमच्या DevSecOps टीम्सना नेमक्या याच प्रकारच्या समन्वित दबावाच्या पुढे राहण्यासाठी आवश्यक असलेली रिअल-टाइम दृश्यमानता आणि प्राधान्यक्रम देते, जेणेकरून तुमचे pipelineआपल्या संघाचा वेग कमी न करता स्वच्छ राहा.

sca-tools-software-composition-analysis-tools
तुमच्या सॉफ्टवेअरमधील धोक्यांना प्राधान्य द्या, त्यांचे निवारण करा आणि त्यांना सुरक्षित करा.
आपले मोफत खाते मिळवा.
क्रेडिट कार्ड आवश्यक नाही.

तुमचा सॉफ्टवेअर विकास आणि वितरण सुरक्षित करा

झायगेनी प्रोडक्ट सूटसह