लगभग हरेक हप्ता, हाम्रो मालवेयर पत्ता लगाउने प्रणालीहरूले npm र PyPI जस्ता सार्वजनिक रजिस्ट्रीहरूमा हजारौं नयाँ र अद्यावधिक गरिएका प्याकेजहरू स्क्यान गर्छन्। यो हप्ता धेरै सक्रिय रह्यो।
हामीले पुष्टि गर्यौं १३५ दुर्भावनापूर्ण प्याकेजहरू, मुख्यतया npm भरि, PyPI, OpenVSX, कम्पोजर, र VS कोड एक्सटेन्सनहरूमा थप केसहरू सहित। धेरै समन्वित क्लस्टरहरूमा देखा परे, उही नामहरू अन्तर्गत वा नजिकबाट सम्बन्धित प्याकेज परिवारहरूमा बारम्बार दुर्भावनापूर्ण रिलीजहरू प्रकाशित भए। एउटा उत्कृष्ट केस थियो sensivity प्याकेज, जसले २.५.x दायरामा ६० भन्दा बढी संस्करणित रिलीजहरूले npm भरिदियो। अन्य उल्लेखनीय क्लस्टरहरू समावेश थिए ai-sdk-helpers (एआई विकासकर्ताहरूलाई लक्षित गर्दै ८ संस्करणहरू), @antoncallahan/aws-user-helper (AWS उपयोगिताको प्रतिरूपण गर्ने ७ संस्करणहरू), @apple-pay-trust र @google-pay-trust परिवारहरू (भुक्तानी चेकआउट मोड्युलहरूको नक्कल गर्दै), @frengki0707/google-cloud-clone (गुगल क्लाउडलाई नक्कल गर्ने ५ संस्करणहरू), र cms-storehub, cms-helpgit, र cms-github (CMS लाई लक्षित गर्दै) pipelines) धेरै प्याकेजहरूले भुक्तानी र चेकआउट मोड्युलहरूको नक्कल गरे, enterprise र आन्तरिक वेब प्याकेजहरू, एनालिटिक्स क्लाइन्टहरू, UI फाउन्डेसनहरू, विकासकर्ता उपयोगिताहरू, कम्पोनेन्ट अन्वेषकहरू, क्लाउड- र गुगल-थीम प्याकेजहरू, र आधुनिक विकास कार्यप्रवाहहरूमा सामान्यतया विश्वास गरिने अन्य मोड्युलहरू।
यी पृथक विसंगतिहरू थिएनन्। यस हप्ता के कुरा उल्लेखनीय थियो भने एउटै प्याकेज परिवारहरूमा बारम्बार प्रकाशनको मात्रा, नामकरण ढाँचाहरूको पुन: प्रयोग, र वास्तविक सफ्टवेयर डेलिभरी भित्र वैध निर्भरताहरू जस्तो देखिने गरी दुर्भावनापूर्ण प्याकेजहरू लुकाइएको तरिका थियो। pipelines.
यो साप्ताहिक स्न्यापसट हाम्रो चलिरहेको मालिसियस कोड डाइजेस्टको अंश हो, जहाँ हामी नयाँ खतराहरूलाई प्रमाणित गर्छौं र DevSecOps टोलीहरूलाई उनीहरूको सुरक्षा गर्न मद्दत गर्न कारबाहीयोग्य बुद्धिमत्ता प्रदान गर्छौं। pipelineक्षति हुनुभन्दा पहिले।
यस हप्ता हामीले के पायौं र यो किन महत्त्वपूर्ण छ भनेर हेरौं।
| पारिस्थितिकी तंत्र | प्याकेज | मिति |
|---|---|---|
| npm | @क्लाउडप्लेटफर्म-एकल-स्पा/प्रशासन:९९.९९.१०० | 30 सक्छ, 2026 |
| npm | @क्लाउडप्लेटफर्म-सिंगल-स्पा/एसभीपी-एस३-भण्डारण:९९.९९.१०० | 30 सक्छ, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | 30 सक्छ, 2026 |
| npm | @सजिलो-प्रवेश/अवतरण-मार्गहरू: ९९.९.५ | 30 सक्छ, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:९९.९.५ | 30 सक्छ, 2026 |
| npm | @सजिलो-प्रवेश/मार्गहरू: ९९.९.५ | 30 सक्छ, 2026 |
| npm | @t-in-one/form_product_token:५.७.१ | 30 सक्छ, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | 30 सक्छ, 2026 |
| vscode | xampp-प्रबन्धक: ५.१.३ | 30 सक्छ, 2026 |
| npm | @च्याट-टेम्प्लेट/auth:१.०.० | 31 सक्छ, 2026 |
| npm | json-देखि-सरल-ग्राफक्यूएल-स्कीमा: १.०.० | जुन 1, 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | जुन 1, 2026 |
| npm | निमो-रिपोर्टर:१.८.२ | जुन 1, 2026 |
| npm | cms-github: ४.२.४ | जुन 1, 2026 |
| npm | cms-helpgit:४.२.८ | जुन 1, 2026 |
| npm | cms-helpgit:४.२.८ | जुन 1, 2026 |
| npm | cms-storehub:१.३.६ | जुन 1, 2026 |
| npm | cms-storehub:१.३.६ | जुन 1, 2026 |
| npm | cms-storehub:१.३.६ | जुन 1, 2026 |
| pypi | सिमटूरियल-क्लाइन्ट: ०.३.० | जुन 1, 2026 |
| npm | खुद्रा-स्थान-रणनीति-फ्रन्टएन्ड: १.१.२ | जुन 1, 2026 |
| npm | खुद्रा-स्थान-रणनीति-फ्रन्टएन्ड: १.१.२ | जुन 1, 2026 |
| npm | कन्भर्सा-एसडीके:२.०.२ | जुन 1, 2026 |
| npm | भेल्ट्रिक्स: ९.०.१ | जुन 1, 2026 |
| npm | भेल्ट्रिक्स: ९.०.१ | जुन 1, 2026 |
| npm | jingmeideshishi: 1.0.4 | जुन 1, 2026 |
| npm | jingmeideshishi: 1.0.5 | जुन 1, 2026 |
| npm | @tse-डिजिटल/कोर: ९९.०.० | जुन 1, 2026 |
| npm | @टेलिनोर-एसई/कोर:९९.०.० | जुन 1, 2026 |
| npm | @ownit/कोर:९९.०.० | जुन 1, 2026 |
| npm | बिरामी कागजातहरू: ७५.०.० | जुन 1, 2026 |
| npm | @antoncallahan/aws-प्रयोगकर्ता-सहायक:६७६७.६७.३ | जुन 1, 2026 |
| npm | @antoncallahan/aws-प्रयोगकर्ता-सहायक:६७६७.६७.३ | जुन 1, 2026 |
| npm | @antoncallahan/aws-प्रयोगकर्ता-सहायक:६७६७.६७.३ | जुन 1, 2026 |
| npm | @antoncallahan/aws-प्रयोगकर्ता-सहायक:६७६७.६७.३ | जुन 1, 2026 |
| npm | @antoncallahan/aws-प्रयोगकर्ता-सहायक:६७६७.६७.३ | जुन 1, 2026 |
| npm | @antoncallahan/aws-प्रयोगकर्ता-सहायक:६७६७.६७.३ | जुन 1, 2026 |
| npm | @antoncallahan/aws-प्रयोगकर्ता-सहायक:६७६७.६७.३ | जुन 1, 2026 |
| npm | @emcd-vue/auth: ६.४.९ | जुन 1, 2026 |
| npm | @emcd-vue/b2b-भुक्तानी फारम:५.७.४ | जुन 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 2, 2026 |
| npm | meoo-ui-सहायकहरू: १.०.१ | जुन 2, 2026 |
| npm | @langgraphjs/टूलकिट:१.२.१० | जुन 2, 2026 |
| npm | आइभोक्स: ९.०.१ | जुन 2, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 3, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 3, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 3, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 3, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 3, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 3, 2026 |
| npm | @सेन्ट्री-ब्राउजर-एसडीके/प्रोफाइलिङ-नोड: १.०.५ | जुन 4, 2026 |
| npm | @सेन्ट्री-ब्राउजर-एसडीके/प्रोफाइलिङ-नोड: १.०.५ | जुन 4, 2026 |
| npm | @सेन्ट्री-ब्राउजर-एसडीके/प्रोफाइलिङ-नोड: १.०.५ | जुन 4, 2026 |
| npm | कोष सङ्कलन सेवा: १.०.० | जुन 4, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 4, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 4, 2026 |
| npm | vg-अन्तर्क्रिया-मोडेल: ४०.०.५ | जुन 4, 2026 |
| npm | इन्टरनललिब_भि३४६:१.०.९ | जुन 4, 2026 |
| npm | इन्टरनललिब_भि३४६:१.०.९ | जुन 4, 2026 |
| npm | इन्टरनललिब_भि३४६:१.०.९ | जुन 4, 2026 |
| npm | एआई-एसडीके-सहायकहरू: १.४.२ | जुन 4, 2026 |
| npm | एआई-एसडीके-सहायकहरू: १.४.२ | जुन 4, 2026 |
| npm | एआई-एसडीके-सहायकहरू: १.४.२ | जुन 4, 2026 |
| npm | एआई-एसडीके-सहायकहरू: १.४.२ | जुन 4, 2026 |
| npm | एआई-एसडीके-सहायकहरू: १.४.२ | जुन 4, 2026 |
| npm | एआई-एसडीके-सहायकहरू: १.४.२ | जुन 4, 2026 |
| npm | एआई-एसडीके-सहायकहरू: १.४.२ | जुन 4, 2026 |
| npm | एआई-एसडीके-सहायकहरू: १.४.२ | जुन 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | जुन 4, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
| npm | संवेदनशीलता: २.५.६९ | जुन 5, 2026 |
जोखिम र दुर्भावनापूर्ण कोड विरुद्ध आफ्नो खुला स्रोत निर्भरता सुरक्षित गर्नुहोस्
दुर्भावनापूर्ण प्याकेजहरूलाई तपाईंको pipelines. Xygeni प्रारम्भिक मालवेयर पत्ता लगाउने तपाईंको टोलीलाई सबैभन्दा महत्त्वपूर्ण खतराहरूमा वास्तविक-समय दृश्यता दिन्छ, हानिकारक निर्भरताहरूले तपाईंको सफ्टवेयरलाई छुनु अघि नै समात्छ।
यस हप्ताको डाइजेस्टले स्पष्ट पारेझैं, दुर्भावनापूर्ण प्याकेज अभियानहरूको मात्रा र परिष्कार सुस्त भइरहेको छैन। समन्वित संस्करण बाढी, भुक्तानी मोड्युल प्रतिरूपण, र आन्तरिक-ध्वनि प्याकेज नामहरू आक्रमणकारीहरूले प्रयोग गर्ने केही रणनीतिहरू मात्र हुन्। standard प्रतिरक्षा। यी खतराहरूबाट अगाडि रहनको लागि आवधिक लेखा परीक्षण मात्र आवश्यक पर्दैन, यसले तपाईंको टोलीहरू निर्भर प्रत्येक रजिस्ट्रीमा निरन्तर अनुगमनको आवश्यकता पर्दछ।
जाइगेनीको Open Source Security समाधानले प्रकाशनको बिन्दुमा, npm, PyPI, र बाहिर हानिकारक प्याकेजहरूलाई स्क्यान र ब्लक गर्दछ। सबैभन्दा ठूलो वास्तविक-विश्व जोखिम निम्त्याउने कमजोरीहरूलाई सन्दर्भिक रूपमा प्राथमिकता दिएर (र तपाईंको DevSecOps टोलीहरूको लागि उपचार मार्गलाई सुव्यवस्थित गरेर) Xygeni ले तपाईंलाई विकासलाई ढिलो नगरी सुरक्षित, भरपर्दो सफ्टवेयर डेलिभरी कायम राख्न मद्दत गर्दछ।




