ਹਰੈਕ ਹਫ਼ਤੇ, ਸਾਡੇ ਮਾਲਵੇਅਰ ਖੋਜ ਸਿਸਟਮ npm ਅਤੇ PyPI ਵਰਗੀਆਂ ਜਨਤਕ ਰਜਿਸਟਰੀਆਂ ਵਿੱਚ ਹਜ਼ਾਰਾਂ ਨਵੇਂ ਅਤੇ ਅੱਪਡੇਟ ਕੀਤੇ ਪੈਕੇਜਾਂ ਨੂੰ ਸਕੈਨ ਕਰਦੇ ਹਨ। ਇਹ ਹਫ਼ਤਾ ਕੋਈ ਅਪਵਾਦ ਨਹੀਂ ਸੀ।
ਅਸੀਂ 12 ਜੂਨ ਤੋਂ 19 ਜੂਨ, 2026 ਦੇ ਵਿਚਕਾਰ 200 ਤੋਂ ਵੱਧ ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ, ਮੁੱਖ ਤੌਰ 'ਤੇ npm ਵਿੱਚ, PyPI ਵਿੱਚ ਵਾਧੂ ਕੇਸਾਂ ਦੇ ਨਾਲ। ਕਈ ਤਾਲਮੇਲ ਵਾਲੇ ਕਲੱਸਟਰਾਂ ਵਿੱਚ ਪ੍ਰਗਟ ਹੋਏ, ਇੱਕੋ ਜਿਹੇ ਨਾਵਾਂ ਹੇਠ ਜਾਂ ਨਜ਼ਦੀਕੀ ਸਬੰਧਤ ਪੈਕੇਜ ਪਰਿਵਾਰਾਂ ਵਿੱਚ ਪ੍ਰਕਾਸ਼ਿਤ ਵਾਰ-ਵਾਰ ਖਤਰਨਾਕ ਰੀਲੀਜ਼ਾਂ।
ਇਸ ਹਫ਼ਤੇ ਦਾ ਸਭ ਤੋਂ ਵਧੀਆ ਮਾਮਲਾ ਇਹ ਸੀ sensivity, ਜਿਸਨੇ 2.5.x ਰੇਂਜ ਵਿੱਚ 70 ਤੋਂ ਵੱਧ ਵਰਜਨ ਵਾਲੀਆਂ ਰੀਲੀਜ਼ਾਂ ਨਾਲ npm ਨੂੰ ਭਰ ਦਿੱਤਾ, ਕਈ ਦਿਨਾਂ ਵਿੱਚ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ। ਹੋਰ ਮਹੱਤਵਪੂਰਨ ਕਲੱਸਟਰਾਂ ਵਿੱਚ ਇੱਕ ਲਹਿਰ ਸ਼ਾਮਲ ਸੀ @solana-labs ਸੋਲਾਨਾ ਈਕੋਸਿਸਟਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਟਾਈਪੋਸਕੈਟਸ (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — 7 ਜੂਨ ਅਤੇ 8 ਜੂਨ ਨੂੰ ਦੋ ਵੱਖ-ਵੱਖ ਪ੍ਰਕਾਸ਼ਨ ਮੁਹਿੰਮਾਂ ਵਿੱਚ), @nstrlabs ਪਰਿਵਾਰ (sdk, ixel, utils, shared-components, api-client, auth — ਇੱਕ ਅੰਦਰੂਨੀ ਪੈਕੇਜ ਨੇਮਸਪੇਸ ਦੇ ਵਿਰੁੱਧ ਨਿਰਭਰਤਾ ਉਲਝਣ ਹਮਲਾ), @klapp-login-platform ਸਮੂਹ (native-sdk, oidc, routes — ਇੱਕ ਪ੍ਰਮਾਣੀਕਰਨ ਪਲੇਟਫਾਰਮ ਦੀ ਨਕਲ ਕਰਨਾ), internallib_v557 ਅਤੇ internallib_v984 (ਅਸਪਸ਼ਟ ਅੰਦਰੂਨੀ ਲਾਇਬ੍ਰੇਰੀ ਇਪੋਸਟਰਾਂ ਦੇ ਕਈ ਸੰਸਕਰਣ), pocteszep (6 ਸੰਸਕਰਣ 11 ਜੂਨ ਨੂੰ ਪ੍ਰਕਾਸ਼ਿਤ), ਅਤੇ ਕ੍ਰਿਪਟੋ ਅਤੇ Web3 ਉਪਯੋਗਤਾਵਾਂ ਦਾ ਇੱਕ ਸਮੂਹ ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87ਹੈ, ਅਤੇ farming-tools-12. The morningstar-design-system ਪੈਕੇਜ 10 ਜੂਨ ਨੂੰ ਤਿੰਨ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਪ੍ਰਗਟ ਹੋਇਆ, ਇੱਕ ਮਸ਼ਹੂਰ ਵਿੱਤੀ ਡਿਜ਼ਾਈਨ ਪ੍ਰਣਾਲੀ ਦੀ ਨਕਲ ਕਰਦਾ ਹੋਇਆ।
13 ਜੂਨ ਤੋਂ, ਰਫ਼ਤਾਰ ਤੇਜ਼ ਹੋ ਗਈ। houzidawang806 ਇਕੱਲੇ ਕਲੱਸਟਰ ਵਿੱਚ ਇੱਕੋ ਦਿਨ ਵਿੱਚ 25 ਤੋਂ ਵੱਧ ਸੰਸਕਰਣ ਪ੍ਰਕਾਸ਼ਿਤ ਹੋਏ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਭੈਣ-ਭਰਾ ਵੀ ਸ਼ਾਮਲ ਹੋਏ। houzidawang807 ਅਤੇ houzidawang808. The metrics-pipeline-d8k2 ਪੈਕੇਜ ਨੂੰ 15 ਜੂਨ ਅਤੇ 18 ਜੂਨ ਦੇ ਵਿਚਕਾਰ 21 ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਲਗਾਤਾਰ ਦੁਬਾਰਾ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤਾ ਗਿਆ - ਇੱਕ ਨਿਰੰਤਰ ਚੋਰੀ ਮੁਹਿੰਮ ਜੋ ਬਲਾਕਲਿਸਟਾਂ ਤੋਂ ਅੱਗੇ ਰਹਿਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ। friendly-greeter-demo ਪੈਕੇਜ ਪੂਰੇ ਹਫ਼ਤੇ ਵਰਜਨਾਂ ਵਿੱਚ ਦੁਬਾਰਾ ਪ੍ਰਗਟ ਹੁੰਦਾ ਰਿਹਾ। ਨਵੇਂ ਨਿਰਭਰਤਾ ਉਲਝਣ ਦੇ ਯਤਨਾਂ ਦੇ ਤਹਿਤ ਸਾਹਮਣੇ ਆਏ xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, ਅਤੇ ਕਈ ਹੋਰ — ਸਾਰੇ 999.x ਰੇਂਜ ਵਿੱਚ ਵਧੇ ਹੋਏ ਵਰਜਨ ਨੰਬਰ ਰੱਖਦੇ ਹਨ। ਬੇਤਰਤੀਬ ਹੈਕਸ ਪਿਛੇਤਰਾਂ ਵਾਲੇ ਆਮ ਉਪਯੋਗਤਾ ਨਾਵਾਂ ਦਾ ਇੱਕ ਤਾਜ਼ਾ ਸਮੂਹ (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) 18-19 ਜੂਨ ਨੂੰ ਪ੍ਰਗਟ ਹੋਇਆ, ਸਕ੍ਰਿਪਟਡ ਬਲਕ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਦੇ ਅਨੁਸਾਰ। ਹਫ਼ਤਾ ਇਸ ਨਾਲ ਸਮਾਪਤ ਹੋਇਆ trimprompt, trimprompt-hub, claude-cupਹੈ, ਅਤੇ web3-crypto-address-utils 19 ਜੂਨ ਨੂੰ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ। PyPI ਵਿੱਚ, neuralbridge-sdk (4.5.x–5.1.x ਵਿੱਚ ਪੰਜ ਸੰਸਕਰਣ), deepstrain, teambot-ai, hello-test-s1ਹੈ, ਅਤੇ aiaddin-agent ਹਫ਼ਤੇ ਦੌਰਾਨ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ।
ਇਹ ਅਲੱਗ-ਥਲੱਗ ਵਿਸੰਗਤੀਆਂ ਨਹੀਂ ਸਨ। ਇਸ ਹਫ਼ਤੇ ਜੋ ਗੱਲ ਸਾਹਮਣੇ ਆਈ ਉਹ ਸੀ ਅੰਦਰੂਨੀ ਪੈਕੇਜ ਨੇਮਸਪੇਸਾਂ ਵਿਰੁੱਧ ਨਿਰਭਰਤਾ ਉਲਝਣ ਦੇ ਹਮਲਿਆਂ ਦੀ ਇਕਾਗਰਤਾ, ਟੇਕਡਾਊਨ ਨੂੰ ਪਛਾੜਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਨਿਰੰਤਰ ਬਹੁ-ਦਿਨ ਪ੍ਰਕਾਸ਼ਨ ਮੁਹਿੰਮਾਂ, Web3 ਅਤੇ DeFi ਟੂਲਿੰਗ (ਇੱਕ ਪੈਟਰਨ ਜੋ 2026 ਵਿੱਚ ਕਾਫ਼ੀ ਤੇਜ਼ ਹੋਇਆ ਹੈ) ਨੂੰ ਲਗਾਤਾਰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ, ਅਤੇ ਆਮ ਨਿਰਭਰਤਾ ਰੁੱਖਾਂ ਵਿੱਚ ਮਿਲਾ ਕੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਆਮ, ਸ਼ੋਰ-ਵਰਗੇ ਪੈਕੇਜ ਨਾਵਾਂ ਦੀ ਵੱਧ ਰਹੀ ਵਰਤੋਂ।
ਇਹ ਹਫ਼ਤਾਵਾਰੀ ਸਨੈਪਸ਼ਾਟ ਸਾਡੇ ਚੱਲ ਰਹੇ ਮੈਲੀਸ਼ੀਅਸ ਕੋਡ ਡਾਇਜੈਸਟ ਦਾ ਹਿੱਸਾ ਹੈ, ਜਿੱਥੇ ਅਸੀਂ ਨਵੇਂ ਖਤਰਿਆਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਦੇ ਹਾਂ ਅਤੇ DevSecOps ਟੀਮਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ pipelineਨੁਕਸਾਨ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ। ਆਓ ਇਸ ਹਫ਼ਤੇ ਸਾਨੂੰ ਕੀ ਮਿਲਿਆ ਅਤੇ ਇਹ ਕਿਉਂ ਮਾਇਨੇ ਰੱਖਦਾ ਹੈ, ਇਸ ਨੂੰ ਤੋੜੀਏ।
ਤਾਲਮੇਲ ਵਾਲੀਆਂ ਮੁਹਿੰਮਾਂ ਨੂੰ ਆਪਣੇ ਤੱਕ ਨਾ ਪਹੁੰਚਣ ਦਿਓ Pipelines
ਇਸ ਹਫ਼ਤੇ ਦਾ ਡਾਇਜੈਸਟ ਕਿਸੇ ਇੱਕ ਖ਼ਤਰੇ ਬਾਰੇ ਨਹੀਂ ਸੀ; ਇਹ ਪੈਮਾਨੇ ਬਾਰੇ ਸੀ। 200 ਤੋਂ ਵੱਧ ਪੁਸ਼ਟੀ ਕੀਤੇ ਪੈਕੇਜ, ਕਈ ਦਿਨਾਂ ਵਿੱਚ ਲਗਾਤਾਰ ਵਰਜਨ ਹੜ੍ਹ, ਅਤੇ ਸਕ੍ਰਿਪਟਡ ਬਲਕ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਮੁਹਿੰਮਾਂ ਮੈਨੂਅਲ ਸਮੀਖਿਆਵਾਂ ਦੁਆਰਾ ਟਰੈਕ ਕੀਤੇ ਜਾਣ ਨਾਲੋਂ ਤੇਜ਼ੀ ਨਾਲ ਚੱਲ ਰਹੀਆਂ ਹਨ। ਹਮਲਾਵਰ ਤੁਹਾਡੇ ਫੜਨ ਦੀ ਉਡੀਕ ਨਹੀਂ ਕਰ ਰਹੇ ਹਨ।
ਜ਼ਾਇਜੇਨੀ ਅਰਲੀ ਮਾਲਵੇਅਰ ਡਿਟੈਕਸ਼ਨ npm, PyPI, ਅਤੇ ਹੋਰ ਰਜਿਸਟਰੀਆਂ ਦੀ ਲਗਾਤਾਰ ਨਿਗਰਾਨੀ ਕਰਦਾ ਹੈ, ਪ੍ਰਕਾਸ਼ਨ ਦੇ ਸਮੇਂ ਧਮਕੀਆਂ ਨੂੰ ਫਲੈਗ ਕਰਦਾ ਹੈ, ਨਾ ਕਿ ਉਹਨਾਂ ਦੇ ਬਿਲਡ ਵਿੱਚ ਆਉਣ ਤੋਂ ਬਾਅਦ। ਜਦੋਂ ਇੱਕ ਮੁਹਿੰਮ ਚਾਰ ਦਿਨਾਂ ਵਿੱਚ ਇੱਕੋ ਖਤਰਨਾਕ ਪੈਕੇਜ ਦੇ 21 ਸੰਸਕਰਣ ਪ੍ਰਕਾਸ਼ਤ ਕਰਦੀ ਹੈ, ਤਾਂ ਇੱਕ ਹਫਤਾਵਾਰੀ ਸਕੈਨ ਸਮੇਂ ਸਿਰ ਕੁਝ ਵੀ ਨਹੀਂ ਫੜਦਾ।
ਜ਼ਾਇਗੇਨੀ ਦਾ Open Source Security ਹੱਲ ਤੁਹਾਡੀਆਂ DevSecOps ਟੀਮਾਂ ਨੂੰ ਅਸਲ-ਸਮੇਂ ਦੀ ਦਿੱਖ ਅਤੇ ਤਰਜੀਹ ਦਿੰਦਾ ਹੈ ਜਿਸਦੀ ਉਹਨਾਂ ਨੂੰ ਇਸ ਕਿਸਮ ਦੇ ਤਾਲਮੇਲ ਵਾਲੇ ਦਬਾਅ ਤੋਂ ਬਿਲਕੁਲ ਅੱਗੇ ਰਹਿਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਇਸ ਲਈ ਤੁਹਾਡੀ pipelineਆਪਣੀਆਂ ਟੀਮਾਂ ਨੂੰ ਹੌਲੀ ਕੀਤੇ ਬਿਨਾਂ ਸਾਫ਼ ਰਹੋ।




