تقریباً ہر ہفتے، ہمارے میلویئر کا پتہ لگانے کے نظام npm اور PyPI جیسی عوامی رجسٹریوں میں ہزاروں نئے اور اپ ڈیٹ شدہ پیکجوں کو اسکین کرتے ہیں۔ یہ ہفتہ بہت فعال رہا۔
ہم نے تصدیق کی۔ 198 بدنیتی پر مبنی پیکیجز، بنیادی طور پر پورے npm میں، PyPI، OpenVSX، کمپوزر، اور VS کوڈ ایکسٹینشنز میں اضافی کیسز کے ساتھ۔ متعدد مربوط کلسٹرز میں نمودار ہوئے، جن میں بار بار ایک ہی نام سے یا قریبی متعلقہ پیکیج فیملیز میں شائع ہونے والی بدنیتی پر مبنی ریلیزز تھیں۔ ایک اسٹینڈ آؤٹ کیس تھا۔ sensivity پیکیج، جس نے 2.5.x رینج میں 60 سے زیادہ ورژن والی ریلیز کے ساتھ npm کو بھر دیا۔ دیگر قابل ذکر کلسٹرز شامل ہیں۔ ai-sdk-helpers (AI ڈویلپرز کو نشانہ بنانے والے 8 ورژن) @antoncallahan/aws-user-helper (7 ورژن AWS افادیت کی نقالی کرتے ہوئے) @apple-pay-trust اور @google-pay-trust خاندان (ادائیگی کے چیک آؤٹ ماڈیولز کی نقل کرتے ہوئے) @frengki0707/google-cloud-clone (5 ورژن جو گوگل کلاؤڈ کو دھوکہ دیتے ہیں)، اور cms-storehub, cms-helpgit، اور cms-github (CMS کو نشانہ بنانا pipelines)۔ بہت سے پیکجوں نے ادائیگی اور چیک آؤٹ ماڈیولز کی نقل کی، enterprise اور اندرونی ویب پیکجز، اینالیٹکس کلائنٹس، UI فاؤنڈیشنز، ڈویلپر یوٹیلیٹیز، کمپوننٹ ایکسپلوررز، کلاؤڈ- اور گوگل تھیمڈ پیکجز، اور دوسرے ماڈیولز جن پر عام طور پر جدید ترقیاتی ورک فلو میں بھروسہ کیا جاتا ہے۔
یہ الگ تھلگ بے ضابطگیاں نہیں تھیں۔ اس ہفتے جو چیز سامنے آئی وہ ایک ہی پیکیج کے خاندانوں میں بار بار شائع ہونے کا پیمانہ تھا، نام دینے کے نمونوں کا دوبارہ استعمال، اور جس طرح سے بدنیتی پر مبنی پیکیجز کو حقیقی سافٹ ویئر کی ترسیل کے اندر جائز انحصار کی طرح ظاہر کرنے کے لیے بھیس بدلا گیا تھا۔ pipelines.
یہ ہفتہ وار سنیپ شاٹ ہمارے جاری نقصاندہ کوڈ ڈائجسٹ کا حصہ ہے، جہاں ہم نئے خطرات کی توثیق کرتے ہیں اور DevSecOps ٹیموں کو ان کی حفاظت کے لیے قابل عمل انٹیلی جنس فراہم کرتے ہیں۔ pipelineنقصان ہونے سے پہلے۔
آئیے اس بات کو توڑتے ہیں کہ ہمیں اس ہفتے کیا ملا اور یہ کیوں اہمیت رکھتا ہے۔
| ماحولیاتی نظام | پیکج | تاریخ |
|---|---|---|
| npm | @cloudplatform-single-spa/administration:99.99.100 | 30 فرمائے، 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 فرمائے، 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | 30 فرمائے، 2026 |
| npm | @easy-entry/landing-routes:99.9.5 | 30 فرمائے، 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | 30 فرمائے، 2026 |
| npm | @easy-entry/routes:99.9.5 | 30 فرمائے، 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | 30 فرمائے، 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | 30 فرمائے، 2026 |
| vscode | xampp-manager:5.1.3 | 30 فرمائے، 2026 |
| npm | @chat-template/auth:1.0.0 | 31 فرمائے، 2026 |
| npm | json-to-simple-graphql-schema:1.0.0 | جون 1، 2026 |
| npm | @gs-select/savings-client-application:99.0.0 | جون 1، 2026 |
| npm | نیمو رپورٹر: 1.8.2 | جون 1، 2026 |
| npm | cms-github:4.2.4 | جون 1، 2026 |
| npm | cms-helpgit: 4.2.6 | جون 1، 2026 |
| npm | cms-helpgit: 4.2.8 | جون 1، 2026 |
| npm | cms-storehub:1.3.4 | جون 1، 2026 |
| npm | cms-storehub:1.3.5 | جون 1، 2026 |
| npm | cms-storehub:1.3.6 | جون 1، 2026 |
| pypi | simtooreal-cli:0.3.0 | جون 1، 2026 |
| npm | خوردہ-مقام-حکمت عملی-فرنٹ اینڈ:1.1.1 | جون 1، 2026 |
| npm | خوردہ-مقام-حکمت عملی-فرنٹ اینڈ:1.1.2 | جون 1، 2026 |
| npm | conversa-sdk:2.0.2 | جون 1، 2026 |
| npm | ویلٹرکس: 9.0.0 | جون 1، 2026 |
| npm | ویلٹرکس: 9.0.1 | جون 1، 2026 |
| npm | jingmeideshishi:1.0.4 | جون 1، 2026 |
| npm | jingmeideshishi:1.0.5 | جون 1، 2026 |
| npm | @tse-digital/core:99.0.0 | جون 1، 2026 |
| npm | @telenor-se/core:99.0.0 | جون 1، 2026 |
| npm | @ownit/core:99.0.0 | جون 1، 2026 |
| npm | مریض کے دستاویزات: 75.0.0 | جون 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | جون 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | جون 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | جون 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | جون 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | جون 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | جون 1، 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | جون 1، 2026 |
| npm | @emcd-vue/auth:6.4.9 | جون 1، 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | جون 1، 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | جون 2، 2026 |
| npm | حساسیت: 2.5.8 | جون 2، 2026 |
| npm | حساسیت: 2.5.12 | جون 2، 2026 |
| npm | حساسیت: 2.5.16 | جون 2، 2026 |
| npm | حساسیت: 2.5.17 | جون 2، 2026 |
| npm | حساسیت: 2.5.18 | جون 2، 2026 |
| npm | حساسیت: 2.5.19 | جون 2، 2026 |
| npm | حساسیت: 2.5.20 | جون 2، 2026 |
| npm | حساسیت: 2.5.21 | جون 2، 2026 |
| npm | حساسیت: 2.5.22 | جون 2، 2026 |
| npm | حساسیت: 2.5.23 | جون 2، 2026 |
| npm | حساسیت: 2.5.24 | جون 2، 2026 |
| npm | حساسیت: 2.5.25 | جون 2، 2026 |
| npm | حساسیت: 2.5.26 | جون 2، 2026 |
| npm | حساسیت: 2.5.27 | جون 2، 2026 |
| npm | حساسیت: 2.5.28 | جون 2، 2026 |
| npm | حساسیت: 2.5.29 | جون 2، 2026 |
| npm | حساسیت: 2.5.30 | جون 2، 2026 |
| npm | حساسیت: 2.5.31 | جون 2، 2026 |
| npm | حساسیت: 2.5.32 | جون 2، 2026 |
| npm | حساسیت: 2.5.41 | جون 2، 2026 |
| npm | حساسیت: 2.5.42 | جون 2، 2026 |
| npm | حساسیت: 2.5.43 | جون 2، 2026 |
| npm | حساسیت: 2.5.44 | جون 2، 2026 |
| npm | حساسیت: 2.5.45 | جون 2، 2026 |
| npm | حساسیت: 2.5.46 | جون 2، 2026 |
| npm | meoo-ui-helpers:1.0.1 | جون 2، 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | جون 2، 2026 |
| npm | eyevox:9.0.1 | جون 2، 2026 |
| npm | حساسیت: 2.5.53 | جون 3، 2026 |
| npm | حساسیت: 2.5.54 | جون 3، 2026 |
| npm | حساسیت: 2.5.55 | جون 3، 2026 |
| npm | حساسیت: 2.5.56 | جون 3، 2026 |
| npm | حساسیت: 2.5.57 | جون 3، 2026 |
| npm | حساسیت: 2.5.61 | جون 3، 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | جون 4، 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | جون 4، 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | جون 4، 2026 |
| npm | فنڈ جمع کرنے کی خدمت: 1.0.0 | جون 4، 2026 |
| npm | حساسیت: 2.5.67 | جون 4، 2026 |
| npm | حساسیت: 2.5.68 | جون 4، 2026 |
| npm | vg-interaction-model:40.0.5 | جون 4، 2026 |
| npm | Internallib_v346:1.0.3 | جون 4، 2026 |
| npm | Internallib_v346:1.0.5 | جون 4، 2026 |
| npm | Internallib_v346:1.0.9 | جون 4، 2026 |
| npm | ai-sdk-helpers:0.2.1 | جون 4، 2026 |
| npm | ai-sdk-helpers:0.3.0 | جون 4، 2026 |
| npm | ai-sdk-helpers:0.3.1 | جون 4، 2026 |
| npm | ai-sdk-helpers:1.1.0 | جون 4، 2026 |
| npm | ai-sdk-helpers:1.1.1 | جون 4، 2026 |
| npm | ai-sdk-helpers:1.3.0 | جون 4، 2026 |
| npm | ai-sdk-helpers:1.4.0 | جون 4، 2026 |
| npm | ai-sdk-helpers:1.4.2 | جون 4، 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | جون 4، 2026 |
| npm | حساسیت: 2.5.0 | جون 5، 2026 |
| npm | حساسیت: 2.5.1 | جون 5، 2026 |
| npm | حساسیت: 2.5.2 | جون 5، 2026 |
| npm | حساسیت: 2.5.3 | جون 5، 2026 |
| npm | حساسیت: 2.5.4 | جون 5، 2026 |
| npm | حساسیت: 2.5.5 | جون 5، 2026 |
| npm | حساسیت: 2.5.13 | جون 5، 2026 |
| npm | حساسیت: 2.5.14 | جون 5، 2026 |
| npm | حساسیت: 2.5.15 | جون 5، 2026 |
| npm | حساسیت: 2.5.33 | جون 5، 2026 |
| npm | حساسیت: 2.5.34 | جون 5، 2026 |
| npm | حساسیت: 2.5.35 | جون 5، 2026 |
| npm | حساسیت: 2.5.36 | جون 5، 2026 |
| npm | حساسیت: 2.5.37 | جون 5، 2026 |
| npm | حساسیت: 2.5.38 | جون 5، 2026 |
| npm | حساسیت: 2.5.58 | جون 5، 2026 |
| npm | حساسیت: 2.5.59 | جون 5، 2026 |
| npm | حساسیت: 2.5.60 | جون 5، 2026 |
| npm | حساسیت: 2.5.62 | جون 5، 2026 |
| npm | حساسیت: 2.5.63 | جون 5، 2026 |
| npm | حساسیت: 2.5.64 | جون 5، 2026 |
| npm | حساسیت: 2.5.65 | جون 5، 2026 |
| npm | حساسیت: 2.5.66 | جون 5، 2026 |
| npm | حساسیت: 2.5.69 | جون 5، 2026 |
کمزوریوں اور نقصان دہ کوڈ کے خلاف اپنے اوپن سورس انحصار کو محفوظ بنائیں
نقصان دہ پیکجوں کو آپ تک پہنچنے نہ دیں۔ pipelines. Xygeni ابتدائی میلویئر کا پتہ لگانا آپ کی ٹیم کو ان خطرات میں حقیقی وقت کی نمائش فراہم کرتا ہے جو سب سے اہم ہیں، نقصان دہ انحصار کو پکڑنے سے پہلے وہ آپ کے سافٹ ویئر کو چھوتے ہیں۔
جیسا کہ اس ہفتے کا ڈائجسٹ واضح کرتا ہے، بدنیتی پر مبنی پیکیج مہمات کا حجم اور نفاست کم نہیں ہو رہا ہے۔ مربوط ورژن سیلاب، ادائیگی کے ماڈیول کی نقالی، اور اندرونی آواز والے پیکیج کے نام صرف کچھ ایسے حربے ہیں جو حملہ آور ماضی کو پھسلنے کے لیے استعمال کر رہے ہیں۔ standard دفاع ان خطرات سے آگے رہنے کے لیے وقتاً فوقتاً آڈٹ کی ضرورت ہوتی ہے، یہ ہر اس رجسٹری میں مسلسل نگرانی کا مطالبہ کرتا ہے جس پر آپ کی ٹیمیں انحصار کرتی ہیں۔
Xygeni کی Open Source Security حل اشاعت کے مقام پر، این پی ایم، پی پی آئی، اور اس سے آگے نقصان دہ پیکجوں کو اسکین اور بلاک کرتا ہے۔ سیاق و سباق کے لحاظ سے ان کمزوریوں کو ترجیح دے کر جو حقیقی دنیا کا سب سے بڑا خطرہ لاحق ہیں (اور آپ کی DevSecOps ٹیموں کے لیے تدارک کے راستے کو ہموار کرتے ہوئے) Xygeni ترقی کو سست کیے بغیر محفوظ، قابل اعتماد سافٹ ویئر کی ترسیل کو برقرار رکھنے میں آپ کی مدد کرتا ہے۔




