ਲਗਭਗ ਹਰ ਹਫ਼ਤੇ, ਸਾਡੇ ਮਾਲਵੇਅਰ ਖੋਜ ਸਿਸਟਮ npm ਅਤੇ PyPI ਵਰਗੀਆਂ ਜਨਤਕ ਰਜਿਸਟਰੀਆਂ ਵਿੱਚ ਹਜ਼ਾਰਾਂ ਨਵੇਂ ਅਤੇ ਅੱਪਡੇਟ ਕੀਤੇ ਪੈਕੇਜਾਂ ਨੂੰ ਸਕੈਨ ਕਰਦੇ ਹਨ। ਇਹ ਹਫ਼ਤਾ ਕੋਈ ਅਪਵਾਦ ਨਹੀਂ ਸੀ।
ਅਸੀਂ 7 ਜੂਨ ਤੋਂ 12 ਜੂਨ, 2026 ਦੇ ਵਿਚਕਾਰ 130 ਤੋਂ ਵੱਧ ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ, ਮੁੱਖ ਤੌਰ 'ਤੇ npm ਵਿੱਚ, PyPI ਵਿੱਚ ਵਾਧੂ ਕੇਸਾਂ ਦੇ ਨਾਲ। ਕਈ ਤਾਲਮੇਲ ਵਾਲੇ ਕਲੱਸਟਰਾਂ ਵਿੱਚ ਪ੍ਰਗਟ ਹੋਏ, ਇੱਕੋ ਜਿਹੇ ਨਾਵਾਂ ਹੇਠ ਜਾਂ ਨਜ਼ਦੀਕੀ ਸਬੰਧਤ ਪੈਕੇਜ ਪਰਿਵਾਰਾਂ ਵਿੱਚ ਪ੍ਰਕਾਸ਼ਿਤ ਵਾਰ-ਵਾਰ ਖਤਰਨਾਕ ਰੀਲੀਜ਼ਾਂ।
ਇਸ ਹਫ਼ਤੇ ਦਾ ਸਭ ਤੋਂ ਵਧੀਆ ਮਾਮਲਾ ਇਹ ਸੀ sensivity, ਜਿਸਨੇ 2.5.x ਰੇਂਜ ਵਿੱਚ 40 ਤੋਂ ਵੱਧ ਵਰਜਨ ਵਾਲੀਆਂ ਰੀਲੀਜ਼ਾਂ ਨਾਲ npm ਨੂੰ ਭਰ ਦਿੱਤਾ, ਕਈ ਦਿਨਾਂ ਵਿੱਚ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ। ਹੋਰ ਮਹੱਤਵਪੂਰਨ ਕਲੱਸਟਰਾਂ ਵਿੱਚ ਇੱਕ ਲਹਿਰ ਸ਼ਾਮਲ ਸੀ @solana-labs ਸੋਲਾਨਾ ਈਕੋਸਿਸਟਮ (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — 7 ਜੂਨ ਅਤੇ 8 ਜੂਨ ਨੂੰ ਦੋ ਵੱਖ-ਵੱਖ ਪ੍ਰਕਾਸ਼ਨ ਮੁਹਿੰਮਾਂ ਵਿੱਚ) ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਟਾਈਪੋਸਕਵਾਟਸ, @nstrlabs ਪਰਿਵਾਰ (sdk, ixel, utils, shared-components, api-client, auth — ਇੱਕ ਅੰਦਰੂਨੀ ਪੈਕੇਜ ਨੇਮਸਪੇਸ ਦੇ ਵਿਰੁੱਧ ਨਿਰਭਰਤਾ ਉਲਝਣ ਹਮਲਾ), @klapp-login-platform ਸਮੂਹ (ਨੇਟਿਵ-ਐਸਡੀਕੇ, ਓਆਈਡੀਸੀ, ਰੂਟਸ — ਇੱਕ ਪ੍ਰਮਾਣੀਕਰਨ ਪਲੇਟਫਾਰਮ ਦੀ ਨਕਲ ਕਰਨਾ), internallib_v557 ਅਤੇ internallib_v984 (ਅਸਪਸ਼ਟ ਅੰਦਰੂਨੀ ਲਾਇਬ੍ਰੇਰੀ ਇਪੋਸਟਰਾਂ ਦੇ ਕਈ ਸੰਸਕਰਣ), pocteszep (6 ਸੰਸਕਰਣ 11 ਜੂਨ ਨੂੰ ਪ੍ਰਕਾਸ਼ਿਤ), ਅਤੇ ਕ੍ਰਿਪਟੋ ਅਤੇ Web3 ਉਪਯੋਗਤਾਵਾਂ ਦਾ ਇੱਕ ਸਮੂਹ ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87ਹੈ, ਅਤੇ farming-tools-12. The morningstar-design-system ਪੈਕੇਜ 10 ਜੂਨ ਨੂੰ ਤਿੰਨ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਪ੍ਰਗਟ ਹੋਇਆ, ਇੱਕ ਮਸ਼ਹੂਰ ਵਿੱਤੀ ਡਿਜ਼ਾਈਨ ਪ੍ਰਣਾਲੀ ਦੀ ਨਕਲ ਕਰਦਾ ਹੋਇਆ। PyPI ਵਿੱਚ, helixagentai, telegramliteਹੈ, ਅਤੇ cdjeez ਹਫ਼ਤੇ ਦੌਰਾਨ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ।
ਇਹ ਅਲੱਗ-ਥਲੱਗ ਵਿਗਾੜ ਨਹੀਂ ਸਨ। ਇਸ ਹਫ਼ਤੇ ਜੋ ਗੱਲ ਸਾਹਮਣੇ ਆਈ ਉਹ ਸੀ ਅੰਦਰੂਨੀ ਪੈਕੇਜ ਨੇਮਸਪੇਸਾਂ ਦੇ ਵਿਰੁੱਧ ਨਿਰਭਰਤਾ ਉਲਝਣ ਦੇ ਹਮਲਿਆਂ ਦੀ ਇਕਾਗਰਤਾ, ਦਾ ਨਿਰੰਤਰ ਬਹੁ-ਦਿਨ ਪ੍ਰਕਾਸ਼ਨ sensivity ਕਲੱਸਟਰ, ਅਤੇ Web3 ਅਤੇ Solana ਟੂਲਿੰਗ ਦਾ ਨਿਰੰਤਰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ, ਇੱਕ ਪੈਟਰਨ ਜੋ 2026 ਵਿੱਚ ਕਾਫ਼ੀ ਤੇਜ਼ ਹੋਇਆ ਹੈ।
ਇਹ ਹਫ਼ਤਾਵਾਰੀ ਸਨੈਪਸ਼ਾਟ ਸਾਡੇ ਚੱਲ ਰਹੇ ਮੈਲੀਸ਼ੀਅਸ ਕੋਡ ਡਾਇਜੈਸਟ ਦਾ ਹਿੱਸਾ ਹੈ, ਜਿੱਥੇ ਅਸੀਂ ਨਵੇਂ ਖਤਰਿਆਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਦੇ ਹਾਂ ਅਤੇ DevSecOps ਟੀਮਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ pipelineਨੁਕਸਾਨ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ।
ਆਓ ਇਸ ਹਫ਼ਤੇ ਸਾਨੂੰ ਕੀ ਮਿਲਿਆ ਅਤੇ ਇਹ ਕਿਉਂ ਮਾਇਨੇ ਰੱਖਦਾ ਹੈ, ਇਸ ਬਾਰੇ ਗੱਲ ਕਰੀਏ।
ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਨੂੰ ਉਤਪਾਦਨ ਤੱਕ ਨਾ ਪਹੁੰਚਣ ਦਿਓ
ਤੁਹਾਡੀਆਂ ਟੀਮਾਂ ਜਿਨ੍ਹਾਂ ਪੈਕੇਜਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀਆਂ ਹਨ, ਉਨ੍ਹਾਂ ਨੂੰ ਐਂਟਰੀ ਪੁਆਇੰਟ ਵਜੋਂ ਵਧਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ। ਜ਼ਾਇਜੇਨੀ ਅਰਲੀ ਮਾਲਵੇਅਰ ਡਿਟੈਕਸ਼ਨ ਰੀਅਲ ਟਾਈਮ ਵਿੱਚ ਰਜਿਸਟਰੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਦਾ ਹੈ, ਇਸ ਲਈ ਇਸ ਹਫ਼ਤੇ ਦੇ ਡਾਇਜੈਸਟ ਵਿੱਚ ਦਿੱਤੇ ਗਏ ਖ਼ਤਰਿਆਂ ਨੂੰ ਤੁਹਾਡੇ ਬਿਲਡ ਤੱਕ ਪਹੁੰਚਣ ਤੋਂ ਪਹਿਲਾਂ ਹੀ ਬਲੌਕ ਕਰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।
ਇਸ ਹਫ਼ਤੇ ਦੇ ਨਤੀਜੇ ਇਸ ਗੱਲ ਦੀ ਯਾਦ ਦਿਵਾਉਂਦੇ ਹਨ ਕਿ ਰਣਨੀਤੀਆਂ ਹੋਰ ਜਾਣਬੁੱਝ ਕੇ ਹੋ ਰਹੀਆਂ ਹਨ। ਵਰਜਨ ਹੜ੍ਹ, ਨੇਮਸਪੇਸ ਦੀ ਨਕਲ, ਅਤੇ ਬਹੁ-ਦਿਨ ਤਾਲਮੇਲ ਵਾਲੀਆਂ ਮੁਹਿੰਮਾਂ ਹੁਣ ਕਿਨਾਰੇ ਦੇ ਮਾਮਲੇ ਨਹੀਂ ਹਨ, ਉਹ ਹਨ standard ਹਮਲਾਵਰ ਪਲੇਬੁੱਕ। ਇੱਕ ਵਾਰ ਦੇ ਸਕੈਨ ਅਤੇ ਮੈਨੂਅਲ ਆਡਿਟ ਉਹਨਾਂ ਮੁਹਿੰਮਾਂ ਨਾਲ ਤਾਲਮੇਲ ਨਹੀਂ ਰੱਖ ਸਕਦੇ ਜੋ ਇੱਕੋ ਸਮੇਂ ਕਈ ਦਿਨਾਂ ਅਤੇ ਰਜਿਸਟਰੀਆਂ ਵਿੱਚ ਦਰਜਨਾਂ ਸੰਸਕਰਣ ਪ੍ਰਕਾਸ਼ਤ ਕਰਦੇ ਹਨ।
ਜ਼ਾਇਗੇਨੀ ਦਾ Open Source Security ਹੱਲ ਤੁਹਾਡੀਆਂ DevSecOps ਟੀਮਾਂ ਨੂੰ npm, PyPI, ਅਤੇ ਇਸ ਤੋਂ ਅੱਗੇ ਨਿਰੰਤਰ ਦ੍ਰਿਸ਼ਟੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਪ੍ਰਕਾਸ਼ਨ ਦੇ ਸਮੇਂ ਨੁਕਸਾਨਦੇਹ ਪੈਕੇਜਾਂ ਦਾ ਪਤਾ ਲਗਾਉਂਦਾ ਹੈ, ਅਸਲ ਸ਼ੋਸ਼ਣਯੋਗ ਜੋਖਮ ਨੂੰ ਤਰਜੀਹ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਖੋਜ ਤੋਂ ਉਪਚਾਰ ਤੱਕ ਦੇ ਰਸਤੇ ਨੂੰ ਛੋਟਾ ਕਰਦਾ ਹੈ। ਇਸ ਲਈ ਤੁਹਾਡੀਆਂ ਟੀਮਾਂ ਸੁਰੱਖਿਆ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਬਿਨਾਂ ਤੇਜ਼ੀ ਨਾਲ ਭੇਜ ਸਕਦੀਆਂ ਹਨ।




