بدنیتی پر مبنی کوڈ ڈائجسٹ 73

Xygeni Malicious Code Digest 73

تقریباً ہر ہفتے، ہمارے میلویئر کا پتہ لگانے کے نظام npm اور PyPI جیسی عوامی رجسٹریوں میں ہزاروں نئے اور اپ ڈیٹ شدہ پیکجوں کو اسکین کرتے ہیں۔ یہ ہفتہ بہت فعال رہا۔

ہم نے تصدیق کی۔ 198 بدنیتی پر مبنی پیکیجز، بنیادی طور پر پورے npm میں، PyPI، OpenVSX، کمپوزر، اور VS کوڈ ایکسٹینشنز میں اضافی کیسز کے ساتھ۔ متعدد مربوط کلسٹرز میں نمودار ہوئے، جن میں بار بار ایک ہی نام سے یا قریبی متعلقہ پیکیج فیملیز میں شائع ہونے والی بدنیتی پر مبنی ریلیزز تھیں۔ ایک اسٹینڈ آؤٹ کیس تھا۔ sensivity پیکیج، جس نے 2.5.x رینج میں 60 سے زیادہ ورژن والی ریلیز کے ساتھ npm کو بھر دیا۔ دیگر قابل ذکر کلسٹرز شامل ہیں۔ ai-sdk-helpers (AI ڈویلپرز کو نشانہ بنانے والے 8 ورژن) @antoncallahan/aws-user-helper (7 ورژن AWS افادیت کی نقالی کرتے ہوئے) @apple-pay-trust اور @google-pay-trust خاندان (ادائیگی کے چیک آؤٹ ماڈیولز کی نقل کرتے ہوئے) @frengki0707/google-cloud-clone (5 ورژن جو گوگل کلاؤڈ کو دھوکہ دیتے ہیں)، اور cms-storehub, cms-helpgit، اور cms-github (CMS کو نشانہ بنانا pipelines)۔ بہت سے پیکجوں نے ادائیگی اور چیک آؤٹ ماڈیولز کی نقل کی، enterprise اور اندرونی ویب پیکجز، اینالیٹکس کلائنٹس، UI فاؤنڈیشنز، ڈویلپر یوٹیلیٹیز، کمپوننٹ ایکسپلوررز، کلاؤڈ- اور گوگل تھیمڈ پیکجز، اور دوسرے ماڈیولز جن پر عام طور پر جدید ترقیاتی ورک فلو میں بھروسہ کیا جاتا ہے۔

یہ الگ تھلگ بے ضابطگیاں نہیں تھیں۔ اس ہفتے جو چیز سامنے آئی وہ ایک ہی پیکیج کے خاندانوں میں بار بار شائع ہونے کا پیمانہ تھا، نام دینے کے نمونوں کا دوبارہ استعمال، اور جس طرح سے بدنیتی پر مبنی پیکیجز کو حقیقی سافٹ ویئر کی ترسیل کے اندر جائز انحصار کی طرح ظاہر کرنے کے لیے بھیس بدلا گیا تھا۔ pipelines.

یہ ہفتہ وار سنیپ شاٹ ہمارے جاری نقصاندہ کوڈ ڈائجسٹ کا حصہ ہے، جہاں ہم نئے خطرات کی توثیق کرتے ہیں اور DevSecOps ٹیموں کو ان کی حفاظت کے لیے قابل عمل انٹیلی جنس فراہم کرتے ہیں۔ pipelineنقصان ہونے سے پہلے۔

آئیے اس بات کو توڑتے ہیں کہ ہمیں اس ہفتے کیا ملا اور یہ کیوں اہمیت رکھتا ہے۔

تصدیق شدہ نقصان دہ پیکجز
ماحولیاتی نظام پیکج تاریخ
npm@cloudplatform-single-spa/administration:99.99.10030 فرمائے، 2026
npm@cloudplatform-single-spa/svp-s3-storage:99.99.10030 فرمائے، 2026
npm@maximvs1538/os-npm:99.0.030 فرمائے، 2026
npm@easy-entry/landing-routes:99.9.530 فرمائے، 2026
npm@easy-entry/outside-registration-fop-navigator:99.9.530 فرمائے، 2026
npm@easy-entry/routes:99.9.530 فرمائے، 2026
npm@t-in-one/form_product_token:5.7.130 فرمائے، 2026
npm@capibar.chat/ui-kit:99.5.730 فرمائے، 2026
vscodexampp-manager:5.1.330 فرمائے، 2026
npm@chat-template/auth:1.0.031 فرمائے، 2026
npmjson-to-simple-graphql-schema:1.0.0جون 1، 2026
npm@gs-select/savings-client-application:99.0.0جون 1، 2026
npmنیمو رپورٹر: 1.8.2جون 1، 2026
npmcms-github:4.2.4جون 1، 2026
npmcms-helpgit: 4.2.6جون 1، 2026
npmcms-helpgit: 4.2.8جون 1، 2026
npmcms-storehub:1.3.4جون 1، 2026
npmcms-storehub:1.3.5جون 1، 2026
npmcms-storehub:1.3.6جون 1، 2026
pypisimtooreal-cli:0.3.0جون 1، 2026
npmخوردہ-مقام-حکمت عملی-فرنٹ اینڈ:1.1.1جون 1، 2026
npmخوردہ-مقام-حکمت عملی-فرنٹ اینڈ:1.1.2جون 1، 2026
npmconversa-sdk:2.0.2جون 1، 2026
npmویلٹرکس: 9.0.0جون 1، 2026
npmویلٹرکس: 9.0.1جون 1، 2026
npmjingmeideshishi:1.0.4جون 1، 2026
npmjingmeideshishi:1.0.5جون 1، 2026
npm@tse-digital/core:99.0.0جون 1، 2026
npm@telenor-se/core:99.0.0جون 1، 2026
npm@ownit/core:99.0.0جون 1، 2026
npmمریض کے دستاویزات: 75.0.0جون 1، 2026
npm@antoncallahan/aws-user-helper:6767.67.69جون 1، 2026
npm@antoncallahan/aws-user-helper:6767.67.68جون 1، 2026
npm@antoncallahan/aws-user-helper:6767.67.82جون 1، 2026
npm@antoncallahan/aws-user-helper:6767.67.80جون 1، 2026
npm@antoncallahan/aws-user-helper:6767.67.81جون 1، 2026
npm@antoncallahan/aws-user-helper:6767.67.83جون 1، 2026
npm@antoncallahan/aws-user-helper:6767.67.3جون 1، 2026
npm@emcd-vue/auth:6.4.9جون 1، 2026
npm@emcd-vue/b2b-pay-form:5.7.4جون 1، 2026
npm@ccrm/user-storage-api-axios:5.0.1جون 2، 2026
npmحساسیت: 2.5.8جون 2، 2026
npmحساسیت: 2.5.12جون 2، 2026
npmحساسیت: 2.5.16جون 2، 2026
npmحساسیت: 2.5.17جون 2، 2026
npmحساسیت: 2.5.18جون 2، 2026
npmحساسیت: 2.5.19جون 2، 2026
npmحساسیت: 2.5.20جون 2، 2026
npmحساسیت: 2.5.21جون 2، 2026
npmحساسیت: 2.5.22جون 2، 2026
npmحساسیت: 2.5.23جون 2، 2026
npmحساسیت: 2.5.24جون 2، 2026
npmحساسیت: 2.5.25جون 2، 2026
npmحساسیت: 2.5.26جون 2، 2026
npmحساسیت: 2.5.27جون 2، 2026
npmحساسیت: 2.5.28جون 2، 2026
npmحساسیت: 2.5.29جون 2، 2026
npmحساسیت: 2.5.30جون 2، 2026
npmحساسیت: 2.5.31جون 2، 2026
npmحساسیت: 2.5.32جون 2، 2026
npmحساسیت: 2.5.41جون 2، 2026
npmحساسیت: 2.5.42جون 2، 2026
npmحساسیت: 2.5.43جون 2، 2026
npmحساسیت: 2.5.44جون 2، 2026
npmحساسیت: 2.5.45جون 2، 2026
npmحساسیت: 2.5.46جون 2، 2026
npmmeoo-ui-helpers:1.0.1جون 2، 2026
npm@langgraphjs/toolkit:1.2.10جون 2، 2026
npmeyevox:9.0.1جون 2، 2026
npmحساسیت: 2.5.53جون 3، 2026
npmحساسیت: 2.5.54جون 3، 2026
npmحساسیت: 2.5.55جون 3، 2026
npmحساسیت: 2.5.56جون 3، 2026
npmحساسیت: 2.5.57جون 3، 2026
npmحساسیت: 2.5.61جون 3، 2026
npm@sentry-browser-sdk/profiling-node:1.0.1جون 4، 2026
npm@sentry-browser-sdk/profiling-node:1.0.2جون 4، 2026
npm@sentry-browser-sdk/profiling-node:1.0.5جون 4، 2026
npmفنڈ جمع کرنے کی خدمت: 1.0.0جون 4، 2026
npmحساسیت: 2.5.67جون 4، 2026
npmحساسیت: 2.5.68جون 4، 2026
npmvg-interaction-model:40.0.5جون 4، 2026
npmInternallib_v346:1.0.3جون 4، 2026
npmInternallib_v346:1.0.5جون 4، 2026
npmInternallib_v346:1.0.9جون 4، 2026
npmai-sdk-helpers:0.2.1جون 4، 2026
npmai-sdk-helpers:0.3.0جون 4، 2026
npmai-sdk-helpers:0.3.1جون 4، 2026
npmai-sdk-helpers:1.1.0جون 4، 2026
npmai-sdk-helpers:1.1.1جون 4، 2026
npmai-sdk-helpers:1.3.0جون 4، 2026
npmai-sdk-helpers:1.4.0جون 4، 2026
npmai-sdk-helpers:1.4.2جون 4، 2026
npm@achuthvp/postinstall-poc:1.0.3جون 4، 2026
npmحساسیت: 2.5.0جون 5، 2026
npmحساسیت: 2.5.1جون 5، 2026
npmحساسیت: 2.5.2جون 5، 2026
npmحساسیت: 2.5.3جون 5، 2026
npmحساسیت: 2.5.4جون 5، 2026
npmحساسیت: 2.5.5جون 5، 2026
npmحساسیت: 2.5.13جون 5، 2026
npmحساسیت: 2.5.14جون 5، 2026
npmحساسیت: 2.5.15جون 5، 2026
npmحساسیت: 2.5.33جون 5، 2026
npmحساسیت: 2.5.34جون 5، 2026
npmحساسیت: 2.5.35جون 5، 2026
npmحساسیت: 2.5.36جون 5، 2026
npmحساسیت: 2.5.37جون 5، 2026
npmحساسیت: 2.5.38جون 5، 2026
npmحساسیت: 2.5.58جون 5، 2026
npmحساسیت: 2.5.59جون 5، 2026
npmحساسیت: 2.5.60جون 5، 2026
npmحساسیت: 2.5.62جون 5، 2026
npmحساسیت: 2.5.63جون 5، 2026
npmحساسیت: 2.5.64جون 5، 2026
npmحساسیت: 2.5.65جون 5، 2026
npmحساسیت: 2.5.66جون 5، 2026
npmحساسیت: 2.5.69جون 5، 2026


کمزوریوں اور نقصان دہ کوڈ کے خلاف اپنے اوپن سورس انحصار کو محفوظ بنائیں

نقصان دہ پیکجوں کو آپ تک پہنچنے نہ دیں۔ pipelines. Xygeni ابتدائی میلویئر کا پتہ لگانا آپ کی ٹیم کو ان خطرات میں حقیقی وقت کی نمائش فراہم کرتا ہے جو سب سے اہم ہیں، نقصان دہ انحصار کو پکڑنے سے پہلے وہ آپ کے سافٹ ویئر کو چھوتے ہیں۔

جیسا کہ اس ہفتے کا ڈائجسٹ واضح کرتا ہے، بدنیتی پر مبنی پیکیج مہمات کا حجم اور نفاست کم نہیں ہو رہا ہے۔ مربوط ورژن سیلاب، ادائیگی کے ماڈیول کی نقالی، اور اندرونی آواز والے پیکیج کے نام صرف کچھ ایسے حربے ہیں جو حملہ آور ماضی کو پھسلنے کے لیے استعمال کر رہے ہیں۔ standard دفاع ان خطرات سے آگے رہنے کے لیے وقتاً فوقتاً آڈٹ کی ضرورت ہوتی ہے، یہ ہر اس رجسٹری میں مسلسل نگرانی کا مطالبہ کرتا ہے جس پر آپ کی ٹیمیں انحصار کرتی ہیں۔

Xygeni کی Open Source Security حل اشاعت کے مقام پر، این پی ایم، پی پی آئی، اور اس سے آگے نقصان دہ پیکجوں کو اسکین اور بلاک کرتا ہے۔ سیاق و سباق کے لحاظ سے ان کمزوریوں کو ترجیح دے کر جو حقیقی دنیا کا سب سے بڑا خطرہ لاحق ہیں (اور آپ کی DevSecOps ٹیموں کے لیے تدارک کے راستے کو ہموار کرتے ہوئے) Xygeni ترقی کو سست کیے بغیر محفوظ، قابل اعتماد سافٹ ویئر کی ترسیل کو برقرار رکھنے میں آپ کی مدد کرتا ہے۔

sca-tools-software-composition-analysis-tools
اپنے سافٹ ویئر کے خطرات کو ترجیح دیں، تدارک کریں اور محفوظ کریں۔
اپنا مفت اکاؤنٹ حاصل کریں۔
کوئی کریڈٹ کارڈ کی ضرورت نہیں ہے.

اپنے سافٹ ویئر ڈویلپمنٹ اور ڈیلیوری کو محفوظ بنائیں

Xygeni پروڈکٹ سویٹ کے ساتھ