हरेक हप्ता, हाम्रो मालवेयर पत्ता लगाउने प्रणालीहरूले npm र PyPI जस्ता सार्वजनिक रजिस्ट्रीहरूमा हजारौं नयाँ र अद्यावधिक गरिएका प्याकेजहरू स्क्यान गर्छन्। यो हप्ता पनि यसको अपवाद थिएन।
हामीले जुन १२ देखि जुन १९, २०२६ सम्म २०० भन्दा बढी मालिसियस प्याकेजहरू पुष्टि गर्यौं, मुख्यतया npm भरि, PyPI मा थप केसहरू सहित। धेरै समन्वित क्लस्टरहरूमा देखा पर्यो, दोहोरिएका मालिसियस रिलीजहरू उही नामहरू अन्तर्गत वा नजिकबाट सम्बन्धित प्याकेज परिवारहरूमा प्रकाशित भए।
यस हप्ताको सबैभन्दा उल्लेखनीय मामला थियो sensivity, जसले २.५.x दायरामा ७० भन्दा बढी संस्करण रिलीजहरूको साथ npm भरियो, धेरै दिनहरूमा पुष्टि भयो। अन्य उल्लेखनीय क्लस्टरहरूमा @solana-labs सोलाना इकोसिस्टमलाई लक्षित गर्ने टाइपोस्क्वाटहरू (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — जुन ७ र जुन ८ मा दुई छुट्टाछुट्टै प्रकाशन अभियानहरूमा), द @nstrlabs परिवार (sdk, ixel, utils, shared-components, api-client, auth — आन्तरिक प्याकेज नेमस्पेस विरुद्ध निर्भरता भ्रम आक्रमण), द @klapp-login-platform समूह (native-sdk, oidc, routes — प्रमाणीकरण प्लेटफर्मको प्रतिरूपण गर्दै), internallib_v557 र internallib_v984 (अस्पष्ट आन्तरिक पुस्तकालय इम्पोस्टरहरूको धेरै संस्करणहरू), pocteszep (जुन ११ मा प्रकाशित ६ संस्करणहरू), र क्रिप्टो र वेब३ उपयोगिताहरूको समूह सहित blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87, र farming-tools-12। यो morningstar-design-system प्याकेज जुन १० मा तीन संस्करणहरूमा देखा पर्यो, जसले एक प्रसिद्ध वित्तीय डिजाइन प्रणालीको प्रतिरूपण गर्यो।
जुन १३ देखि, गति तीव्र भयो। houzidawang806 क्लस्टरमा एकै दिनमा २५ भन्दा बढी संस्करणहरू प्रकाशित भएका थिए, जसमा भाइबहिनीहरू पनि सामेल भएका थिए। houzidawang807 र houzidawang808। यो metrics-pipeline-d8k2 प्याकेज जुन १५ र जुन १८ बीच २१ संस्करणहरूमा निरन्तर पुन: प्रकाशित गरिएको थियो - ब्लकलिस्टहरू भन्दा अगाडि रहनको लागि डिजाइन गरिएको एक निरन्तर चोरी अभियान। friendly-greeter-demo प्याकेज हप्ताभरि संस्करणहरूमा पुन: देखा पर्दै रह्यो। नयाँ निर्भरता भ्रम प्रयासहरू अन्तर्गत देखा परे xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, र धेरै अन्य — सबैले 999.x दायरामा बढाइएको संस्करण नम्बरहरू बोकेका छन्। अनियमित हेक्स प्रत्ययहरू सहितको सामान्य उपयोगिता नामहरूको ताजा समूह (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) जुन १८-१९ मा देखा पर्यो, स्क्रिप्टेड बल्क दर्तासँग मिल्दोजुल्दो। हप्ता समाप्त भयो trimprompt, trimprompt-hub, claude-cup, र web3-crypto-address-utils जुन १९ मा पुष्टि भयो। PyPI मा, neuralbridge-sdk (४.५.x–५.१.x भरि पाँच संस्करणहरू), deepstrain, teambot-ai, hello-test-s1, र aiaddin-agent हप्ताभरि पुष्टि भयो।
यी पृथक विसंगतिहरू थिएनन्। यस हप्ता के कुरा बाहिर आयो भने आन्तरिक प्याकेज नेमस्पेसहरू विरुद्ध निर्भरता भ्रम आक्रमणहरूको एकाग्रता, टेकडाउनहरूलाई जित्न डिजाइन गरिएको निरन्तर बहु-दिन प्रकाशन अभियानहरू, Web3 र DeFi टूलिङको निरन्तर लक्ष्यीकरण (२०२६ मा उल्लेखनीय रूपमा तीव्र भएको ढाँचा), र सामान्य निर्भरता रूखहरूमा मिसाएर पत्ता लगाउनबाट बच्न इन्जिनियर गरिएको सामान्य, आवाज-जस्तो प्याकेज नामहरूको बढ्दो प्रयोग थियो।
यो साप्ताहिक स्न्यापसट हाम्रो चलिरहेको मालिसियस कोड डाइजेस्टको अंश हो, जहाँ हामी नयाँ खतराहरूलाई प्रमाणित गर्छौं र DevSecOps टोलीहरूलाई उनीहरूको सुरक्षा गर्न मद्दत गर्न कारबाहीयोग्य बुद्धिमत्ता प्रदान गर्छौं। pipelineक्षति हुनुभन्दा पहिले। यस हप्ता हामीले के पायौं र यो किन महत्त्वपूर्ण छ भनेर छलफल गरौं।
समन्वित अभियानहरूलाई आफ्नो पहुँचमा नपुगोस् Pipelines
यस हप्ताको डाइजेस्ट एउटा मात्र खतराको बारेमा थिएन; यो स्केलको बारेमा थियो। २०० भन्दा बढी पुष्टि गरिएका प्याकेजहरू, धेरै दिनहरूमा निरन्तर संस्करण बाढी, र म्यानुअल समीक्षाले ट्र्याक गर्न सक्ने भन्दा छिटो चलिरहेको स्क्रिप्टेड बल्क दर्ता अभियानहरू। आक्रमणकारीहरू तपाईंलाई समात्न पर्खिरहेका छैनन्।
Xygeni प्रारम्भिक मालवेयर पत्ता लगाउने npm, PyPI, र अन्य रजिस्ट्रीहरूलाई निरन्तर निगरानी गर्दछ, प्रकाशनको क्षणमा खतराहरू फ्ल्याग गर्दछ, तिनीहरू निर्माणमा अवतरण गरेपछि होइन। जब अभियानले चार दिनमा एउटै दुर्भावनापूर्ण प्याकेजको २१ संस्करणहरू प्रकाशित गर्दछ, साप्ताहिक स्क्यानले समयमा केही पनि पत्ता लगाउँदैन।
जाइगेनीको Open Source Security समाधानले तपाईंको DevSecOps टोलीहरूलाई वास्तविक-समय दृश्यता र प्राथमिकता दिन्छ जुन उनीहरूलाई यस प्रकारको समन्वित दबाबबाट अगाडि रहन आवश्यक छ, त्यसैले तपाईंको pipelineआफ्नो टोलीलाई ढिलो नगरी सफा रहनुहोस्।




