تقريبن هر هفتي، اسان جا مالويئر ڳولڻ وارا نظام npm ۽ PyPI جهڙن عوامي رجسٽرين ۾ هزارين نوان ۽ اپڊيٽ ٿيل پيڪيجز اسڪين ڪن ٿا. هي هفتو تمام گهڻو سرگرم هو.
اسان تصديق ڪئي 198 خراب پيڪيجز، بنيادي طور تي npm تي، PyPI، OpenVSX، ڪمپوزر، ۽ VS ڪوڊ ايڪسٽينشن ۾ اضافي ڪيسن سان. ڪيترائي هم آهنگ ڪلسٽرن ۾ ظاهر ٿيا، ساڳئي نالن سان يا ويجهي لاڳاپيل پيڪيج خاندانن ۾ بار بار خراب رليز شايع ٿيل. هڪ اسٽينڊ آئوٽ ڪيس هو sensivity پيڪيج، جنهن 2.5.x رينج ۾ 60 کان وڌيڪ ورزن ٿيل رليز سان npm کي ڀريو. ٻيا قابل ذڪر ڪلسٽر شامل هئا ai-sdk-helpers (8 ورجن جيڪي AI ڊولپرز کي نشانو بڻائين ٿا)، @antoncallahan/aws-user-helper (7 ورجن جيڪي هڪ AWS يوٽيلٽي جي نقل ڪن ٿا)، @apple-pay-trust ۽ @google-pay-trust خاندان (ادائيگي چيڪ آئوٽ ماڊلز جي نقل ڪندي)، @frengki0707/google-cloud-clone (5 ورجن جيڪي گوگل ڪلائوڊ کي جعلي بڻائين ٿا)، ۽ cms-storehub, cms-helpgit، ۽ cms-github (سي ايم ايس کي نشانو بڻائڻ) pipelines). ڪيترائي پيڪيجز ادائيگي ۽ چيڪ آئوٽ ماڊلز جي نقل ڪندا هئا، enterprise ۽ اندروني ويب پيڪيجز، اينالائيٽڪس ڪلائنٽ، UI فائونڊيشن، ڊولپر يوٽيلٽيز، ڪمپونينٽ ايڪسپلورر، ڪلائوڊ- ۽ گوگل-ٿيمڊ پيڪيجز، ۽ ٻيا ماڊل جيڪي عام طور تي جديد ڊولپمينٽ ورڪ فلوز ۾ قابل اعتماد آهن.
اهي الڳ ٿيل بي ضابطگيون نه هيون. هن هفتي جيڪا ڳالهه نمايان ٿي اها هئي ساڳين پيڪيج خاندانن ۾ بار بار شايع ٿيڻ جو پيمانو، نالي جي نمونن جو ٻيهر استعمال، ۽ ڪيئن خراب پيڪيجز کي حقيقي سافٽ ويئر پهچائڻ اندر جائز انحصار وانگر نظر اچڻ لاءِ لڪايو ويو. pipelines.
هي هفتيوار سنيپ شاٽ اسان جي جاري خراب ڪوڊ ڊائجسٽ جو حصو آهي، جتي اسان نون خطرن جي تصديق ڪريون ٿا ۽ DevSecOps ٽيمن کي انهن جي حفاظت ۾ مدد لاءِ قابل عمل انٽيليجنس فراهم ڪريون ٿا. pipelineنقصان ٿيڻ کان اڳ.
اچو ته هن هفتي اسان کي ڇا مليو ۽ اهو ڇو اهم آهي، ان کي ٽوڙي ڏسون.
| ماحولياتي نظام | پئڪيج | تاريخ |
|---|---|---|
| نيٺ | @ ڪلائوڊ پليٽ فارم-سنگل-اسپا/انتظاميه: 99.99.100 | مئي 30، 2026 |
| نيٺ | @ ڪلائوڊ پليٽ فارم-سنگل-اسپا/ايس وي پي-ايس 3-اسٽوريج: 99.99.100 | مئي 30، 2026 |
| نيٺ | @maximvs1538/os-npm:99.0.0 | مئي 30، 2026 |
| نيٺ | @آسان داخلا/لينڊنگ روٽس: 99.9.5 | مئي 30، 2026 |
| نيٺ | @آسان داخلا/ٻاهران-رجسٽريشن-fop-نيويگيٽر: 99.9.5 | مئي 30، 2026 |
| نيٺ | @آسان داخلا/رستو: 99.9.5 | مئي 30، 2026 |
| نيٺ | @t-in-one/form_product_token: 5.7.1 | مئي 30، 2026 |
| نيٺ | @capibar.chat/ui-kit:99.5.7 | مئي 30، 2026 |
| vscode | xampp-مينيجر: 5.1.3 | مئي 30، 2026 |
| نيٺ | @ چيٽ ٽيمپليٽ/تصنيف: 1.0.0 | مئي 31، 2026 |
| نيٺ | json-to-simple-graphql-schema: 1.0.0 | جلباڻي 1، 2026 |
| نيٺ | @gs-select/savings-client-application:99.0.0 | جلباڻي 1، 2026 |
| نيٺ | نمو-رپورٽر: 1.8.2 | جلباڻي 1، 2026 |
| نيٺ | سي ايم ايس-گيٿب: 4.2.4 | جلباڻي 1، 2026 |
| نيٺ | سي ايم ايس-مدد گٽ: 4.2.6 | جلباڻي 1، 2026 |
| نيٺ | سي ايم ايس-مدد گٽ: 4.2.8 | جلباڻي 1، 2026 |
| نيٺ | سي ايم ايس-اسٽور هب: 1.3.4 | جلباڻي 1، 2026 |
| نيٺ | سي ايم ايس-اسٽور هب: 1.3.5 | جلباڻي 1، 2026 |
| نيٺ | سي ايم ايس-اسٽور هب: 1.3.6 | جلباڻي 1، 2026 |
| پائيپي | سمٽوريئل-ڪلائي: 0.3.0 | جلباڻي 1، 2026 |
| نيٺ | پرچون-مقام-حڪمت عملي-فرنٽ اينڊ: 1.1.1 | جلباڻي 1، 2026 |
| نيٺ | پرچون-مقام-حڪمت عملي-فرنٽ اينڊ: 1.1.2 | جلباڻي 1، 2026 |
| نيٺ | ڪنورسا-ايس ڊي ڪي: 2.0.2 | جلباڻي 1، 2026 |
| نيٺ | ويلٽرڪس: 9.0.0 | جلباڻي 1، 2026 |
| نيٺ | ويلٽرڪس: 9.0.1 | جلباڻي 1، 2026 |
| نيٺ | jingmeideshishi: 1.0.4 | جلباڻي 1، 2026 |
| نيٺ | jingmeideshishi: 1.0.5 | جلباڻي 1، 2026 |
| نيٺ | @tse-ڊجيٽل/ڪور: 99.0.0 | جلباڻي 1، 2026 |
| نيٺ | @ٽيلينور-ايس اي/ڪور: 99.0.0 | جلباڻي 1، 2026 |
| نيٺ | @ownit/ڪور: 99.0.0 | جلباڻي 1، 2026 |
| نيٺ | مريض دستاويز: 75.0.0 | جلباڻي 1، 2026 |
| نيٺ | @antoncallahan/aws-صارف-مددگار: 6767.67.69 | جلباڻي 1، 2026 |
| نيٺ | @antoncallahan/aws-صارف-مددگار: 6767.67.68 | جلباڻي 1، 2026 |
| نيٺ | @antoncallahan/aws-صارف-مددگار: 6767.67.82 | جلباڻي 1، 2026 |
| نيٺ | @antoncallahan/aws-صارف-مددگار: 6767.67.80 | جلباڻي 1، 2026 |
| نيٺ | @antoncallahan/aws-صارف-مددگار: 6767.67.81 | جلباڻي 1، 2026 |
| نيٺ | @antoncallahan/aws-صارف-مددگار: 6767.67.83 | جلباڻي 1، 2026 |
| نيٺ | @antoncallahan/aws-صارف-مددگار: 6767.67.3 | جلباڻي 1، 2026 |
| نيٺ | @emcd-vue/auth: 6.4.9 | جلباڻي 1، 2026 |
| نيٺ | @emcd-vue/b2b-پي-فارم: 5.7.4 | جلباڻي 1، 2026 |
| نيٺ | @ccrm/user-storage-api-axios:5.0.1 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.8 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.12 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.16 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.17 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.18 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.19 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.20 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.21 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.22 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.23 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.24 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.25 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.26 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.27 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.28 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.29 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.30 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.31 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.32 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.41 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.42 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.43 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.44 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.45 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.46 | جلباڻي 2، 2026 |
| نيٺ | ميو-يو آءِ-هيلپرز: 1.0.1 | جلباڻي 2، 2026 |
| نيٺ | @langgraphjs/ٽول ڪِٽ: 1.2.10 | جلباڻي 2، 2026 |
| نيٺ | آئيووڪس: 9.0.1 | جلباڻي 2، 2026 |
| نيٺ | حساسيت: 2.5.53 | جلباڻي 3، 2026 |
| نيٺ | حساسيت: 2.5.54 | جلباڻي 3، 2026 |
| نيٺ | حساسيت: 2.5.55 | جلباڻي 3، 2026 |
| نيٺ | حساسيت: 2.5.56 | جلباڻي 3، 2026 |
| نيٺ | حساسيت: 2.5.57 | جلباڻي 3، 2026 |
| نيٺ | حساسيت: 2.5.61 | جلباڻي 3، 2026 |
| نيٺ | @سينٽري-برائوزر-ايس ڊي ڪي/پروفائيلنگ-نوڊ: 1.0.1 | جلباڻي 4، 2026 |
| نيٺ | @سينٽري-برائوزر-ايس ڊي ڪي/پروفائيلنگ-نوڊ: 1.0.2 | جلباڻي 4، 2026 |
| نيٺ | @سينٽري-برائوزر-ايس ڊي ڪي/پروفائيلنگ-نوڊ: 1.0.5 | جلباڻي 4، 2026 |
| نيٺ | فنڊ گڏ ڪرڻ وارو: 1.0.0 | جلباڻي 4، 2026 |
| نيٺ | حساسيت: 2.5.67 | جلباڻي 4، 2026 |
| نيٺ | حساسيت: 2.5.68 | جلباڻي 4، 2026 |
| نيٺ | وي جي-انٽراڪشن-ماڊل: 40.0.5 | جلباڻي 4، 2026 |
| نيٺ | اندروني_v346:1.0.3 | جلباڻي 4، 2026 |
| نيٺ | اندروني_v346:1.0.5 | جلباڻي 4، 2026 |
| نيٺ | اندروني_v346:1.0.9 | جلباڻي 4، 2026 |
| نيٺ | اي آءِ-ايس ڊي ڪي-هيلپرز: 0.2.1 | جلباڻي 4، 2026 |
| نيٺ | اي آءِ-ايس ڊي ڪي-هيلپرز: 0.3.0 | جلباڻي 4، 2026 |
| نيٺ | اي آءِ-ايس ڊي ڪي-هيلپرز: 0.3.1 | جلباڻي 4، 2026 |
| نيٺ | اي آءِ-ايس ڊي ڪي-هيلپرز: 1.1.0 | جلباڻي 4، 2026 |
| نيٺ | اي آءِ-ايس ڊي ڪي-هيلپرز: 1.1.1 | جلباڻي 4، 2026 |
| نيٺ | اي آءِ-ايس ڊي ڪي-هيلپرز: 1.3.0 | جلباڻي 4، 2026 |
| نيٺ | اي آءِ-ايس ڊي ڪي-هيلپرز: 1.4.0 | جلباڻي 4، 2026 |
| نيٺ | اي آءِ-ايس ڊي ڪي-هيلپرز: 1.4.2 | جلباڻي 4، 2026 |
| نيٺ | @achuthvp/postinstall-poc: 1.0.3 | جلباڻي 4، 2026 |
| نيٺ | حساسيت: 2.5.0 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.1 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.2 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.3 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.4 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.5 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.13 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.14 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.15 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.33 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.34 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.35 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.36 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.37 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.38 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.58 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.59 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.60 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.62 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.63 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.64 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.65 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.66 | جلباڻي 5، 2026 |
| نيٺ | حساسيت: 2.5.69 | جلباڻي 5، 2026 |
پنهنجي اوپن سورس انحصار کي ڪمزورين ۽ خراب ڪوڊ کان محفوظ ڪريو
خراب پيڪيجز کي توهان تائين پهچڻ نه ڏيو pipelines. زائيگيني جي شروعاتي مالويئر جي سڃاڻپ توهان جي ٽيم کي انهن خطرن ۾ حقيقي وقت جي نمائش ڏئي ٿو جيڪي سڀ کان وڌيڪ اهم آهن، نقصانڪار انحصار کي پڪڙڻ کان اڳ جو اهي توهان جي سافٽ ويئر کي هٿ ڪن.
جيئن ته هن هفتي جو ڊائجسٽ واضح ڪري ٿو، خراب پيڪيج مهمن جو حجم ۽ نفاست سست نه ٿي رهي آهي. ڪوآرڊينيٽڊ ورزن فلڊنگ، ادائيگي ماڊل جي نقل، ۽ اندروني آواز وارا پيڪيج نالا صرف ڪجهه حڪمت عمليون آهن جيڪي حملي آور پاسو ڪرڻ لاءِ استعمال ڪري رهيا آهن. standard دفاع. انهن خطرن کان اڳتي رهڻ لاءِ وقتي آڊٽ کان وڌيڪ جي ضرورت آهي، اهو هر رجسٽري ۾ مسلسل نگراني جي ضرورت آهي جنهن تي توهان جون ٽيمون انحصار ڪن ٿيون.
زائيگيني جو Open Source Security حل اشاعت جي نقطي تي، npm، PyPI، ۽ ان کان ٻاهر نقصانڪار پيڪيجز کي اسڪين ۽ بلاڪ ڪري ٿو. تناظر ۾ انهن ڪمزورين کي ترجيح ڏيڻ سان جيڪي حقيقي دنيا جو سڀ کان وڏو خطرو پيدا ڪن ٿيون (۽ توهان جي DevSecOps ٽيمن لاءِ علاج جي رستي کي آسان بڻائي) Xygeni توهان کي ترقي کي سست ڪرڻ کان سواءِ محفوظ، قابل اعتماد سافٽ ويئر پهچائڻ کي برقرار رکڻ ۾ مدد ڪري ٿي.




