ప్రతీ వారంమా మాల్వేర్ గుర్తింపు వ్యవస్థలు npm మరియు PyPI వంటి పబ్లిక్ రిజిస్ట్రీలలోని వేలాది కొత్త మరియు నవీకరించబడిన ప్యాకేజీలను స్కాన్ చేస్తాయి. ఈ వారం కూడా దీనికి మినహాయింపు కాదు.
మేము 2026, జూన్ 12వ తేదీ నుండి జూన్ 19వ తేదీ మధ్య 200కు పైగా హానికరమైన ప్యాకేజీలను నిర్ధారించాము, వీటిలో అధికభాగం npmలో ఉండగా, PyPIలో అదనపు కేసులు నమోదయ్యాయి. వీటిలో చాలా వరకు సమన్వయ క్లస్టర్లలో, అంటే ఒకే పేర్లతో లేదా దగ్గరి సంబంధం ఉన్న ప్యాకేజీ కుటుంబాలలో పదేపదే ప్రచురించబడిన హానికరమైన విడుదలల రూపంలో కనిపించాయి.
ఈ వారం అత్యంత విశేషమైన కేసు sensivityఇది 2.5.x శ్రేణిలో 70కి పైగా వెర్షన్డ్ రిలీజ్లతో npmను ముంచెత్తింది, ఇది చాలా రోజుల పాటు ధృవీకరించబడింది. ఇతర ముఖ్యమైన క్లస్టర్లలో ఒక తరంగం కూడా ఉంది. @solana-labs సోలానా ఎకోసిస్టమ్ను లక్ష్యంగా చేసుకున్న టైపోస్క్వాట్స్ (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — జూన్ 7 మరియు జూన్ 8 తేదీలలో రెండు వేర్వేరు ప్రచురణ ప్రచారాల ద్వారా), @nstrlabs కుటుంబం (sdk, ixel, utils, shared-components, api-client, auth — అంతర్గత ప్యాకేజీ నేమ్స్పేస్పై డిపెండెన్సీ కన్ఫ్యూజన్ దాడి), @klapp-login-platform సమూహం (native-sdk, oidc, routes — ప్రామాణీకరణ ప్లాట్ఫారమ్గా నటిస్తూ), internallib_v557 మరియు internallib_v984 (అస్పష్టమైన అంతర్గత లైబ్రరీ నకిలీల యొక్క బహుళ వెర్షన్లు), pocteszep (జూన్ 11న 6 వెర్షన్లు ప్రచురించబడ్డాయి), మరియు క్రిప్టో మరియు వెబ్3 యుటిలిటీల క్లస్టర్ సహా blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87మరియు farming-tools-12. ది morningstar-design-system ఒక సుప్రసిద్ధ ఆర్థిక రూపకల్పన వ్యవస్థను అనుకరిస్తూ, ఈ ప్యాకేజీ జూన్ 10న మూడు వెర్షన్లలో కనిపించింది.
జూన్ 13 నుంచి వేగం పుంజుకుంది. houzidawang806 ఒక్క క్లస్టర్ మాత్రమే ఒకే రోజులో 25కు పైగా వెర్షన్లను ప్రచురించింది, దీనికి దాని సోదర వెర్షన్లు కూడా తోడయ్యాయి. houzidawang807 మరియు houzidawang808. ది metrics-pipeline-d8k2 బ్లాక్లిస్ట్ల కంటే ఒక అడుగు ముందు ఉండాలనే ఉద్దేశ్యంతో, ఈ ప్యాకేజీ జూన్ 15 మరియు జూన్ 18 మధ్య 21 వెర్షన్లలో నిరంతరంగా తిరిగి ప్రచురించబడింది — ఇది ఒక నిరంతర తప్పించుకునే ప్రచారం. friendly-greeter-demo వారం పొడవునా వెర్షన్ల అంతటా ప్యాకేజీ మళ్లీ మళ్లీ కనిపిస్తూనే ఉంది. కొత్త డిపెండెన్సీ గందరగోళ ప్రయత్నాలు కింద వెలుగులోకి వచ్చాయి. xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategiesమరియు అనేక ఇతరాలు — అన్నీ 999.x శ్రేణిలో పెంచబడిన వెర్షన్ నంబర్లను కలిగి ఉన్నాయి. యాదృచ్ఛిక హెక్స్ ప్రత్యయాలతో కూడిన సాధారణ యుటిలిటీ పేర్ల యొక్క కొత్త సమూహం (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) జూన్ 18–19 తేదీలలో, లిఖితపూర్వక బల్క్ రిజిస్ట్రేషన్కు అనుగుణంగా కనిపించింది. ఆ వారం దీనితో ముగిసింది trimprompt, trimprompt-hub, claude-cupమరియు web3-crypto-address-utils జూన్ 19న ధృవీకరించబడింది. PyPIలో, neuralbridge-sdk (4.5.x–5.1.x అంతటా ఐదు వెర్షన్లు), deepstrain, teambot-ai, hello-test-s1మరియు aiaddin-agent వారమంతా ధృవీకరించబడ్డాయి.
ఇవి విడివిడి అసాధారణ సంఘటనలు కావు. ఈ వారం ప్రత్యేకంగా కనిపించినవి: అంతర్గత ప్యాకేజీ నేమ్స్పేస్లపై డిపెండెన్సీ కన్ఫ్యూజన్ దాడులు కేంద్రీకృతం కావడం, టేక్డౌన్లను కూడా తట్టుకునేలా రూపొందించిన, రోజుల తరబడి కొనసాగిన పబ్లిషింగ్ ప్రచారాలు, వెబ్3 మరియు డీఫై టూలింగ్ను నిరంతరం లక్ష్యంగా చేసుకోవడం (2026లో ఈ ధోరణి గణనీయంగా వేగవంతమైంది), మరియు సాధారణ డిపెండెన్సీ ట్రీలలో కలిసిపోయి గుర్తింపును తప్పించుకోవడానికి రూపొందించిన, సాధారణమైన, శబ్దంలాంటి ప్యాకేజీ పేర్ల వాడకం పెరగడం.
ఈ వారపు స్నాప్షాట్ మా కొనసాగుతున్న మాలీషియస్ కోడ్ డైజెస్ట్లో ఒక భాగం, దీనిలో మేము కొత్త ముప్పులను ధృవీకరించి, DevSecOps బృందాలు తమను తాము రక్షించుకోవడంలో సహాయపడటానికి చర్య తీసుకోదగిన ఇంటెలిజెన్స్ను అందిస్తాము. pipelineనష్టం జరగక ముందే. ఈ వారం మనం కనుగొన్న విషయాలను మరియు అవి ఎందుకు ముఖ్యమైనవో విశ్లేషిద్దాం.
సమన్వయ ప్రచారాలు మీ వరకు చేరనివ్వకండి Pipelines
ఈ వారం సారాంశం ఒకే ఒక్క ముప్పు గురించి కాదు; అది దాని స్థాయికి సంబంధించినది. 200కు పైగా ధృవీకరించబడిన ప్యాకేజీలు, పలు రోజుల పాటు నిరంతరాయంగా వెర్షన్లను పెద్ద ఎత్తున విడుదల చేయడం, మరియు మాన్యువల్ సమీక్షలు గుర్తించలేనంత వేగంగా నడుస్తున్న స్క్రిప్టెడ్ బల్క్ రిజిస్ట్రేషన్ ప్రచారాలు. దాడి చేసేవారు మీరు పసిగట్టే వరకు వేచి ఉండటం లేదు.
Xygeni ప్రారంభ మాల్వేర్ గుర్తింపు ఇది npm, PyPI మరియు ఇతర రిజిస్ట్రీలను నిరంతరం పర్యవేక్షిస్తుంది, ముప్పులు ఒక బిల్డ్లో చేరిన తర్వాత కాకుండా, అవి ప్రచురించబడిన క్షణంలోనే వాటిని గుర్తిస్తుంది. ఒక క్యాంపెయిన్ నాలుగు రోజులలో ఒకే హానికరమైన ప్యాకేజీ యొక్క 21 వెర్షన్లను ప్రచురించినప్పుడు, వారపు స్కాన్ సమయానికి దేన్నీ పట్టుకోలేదు.
క్సైజెనిస్ Open Source Security ఈ పరిష్కారం మీ DevSecOps బృందాలకు, సరిగ్గా ఇలాంటి సమన్వయ ఒత్తిడిని అధిగమించడానికి అవసరమైన రియల్-టైమ్ విజిబిలిటీ మరియు ప్రాధాన్యతను అందిస్తుంది, కాబట్టి మీ pipelineమీ జట్లను నెమ్మదింపజేయకుండా శుభ్రంగా ఉండండి.




