تقریباً ہر ہفتے، ہمارے میلویئر کا پتہ لگانے کے نظام npm اور PyPI جیسی عوامی رجسٹریوں میں ہزاروں نئے اور اپ ڈیٹ شدہ پیکجوں کو اسکین کرتے ہیں۔ یہ ہفتہ کوئی استثنا نہیں تھا۔
ہم نے 7 جون سے 12 جون 2026 کے درمیان 130 سے زیادہ بدنیتی پر مبنی پیکجوں کی تصدیق کی، خاص طور پر npm پر، PyPI میں اضافی کیسز کے ساتھ۔ متعدد مربوط کلسٹرز میں نمودار ہوئے، ایک ہی نام کے تحت یا قریبی متعلقہ پیکیج فیملیز میں شائع ہونے والی بار بار بدنیتی پر مبنی ریلیز۔
اس ہفتے اسٹینڈ آؤٹ کیس تھا۔ sensivity، جس نے 2.5.x رینج میں 40 سے زیادہ ورژن والی ریلیز کے ساتھ npm کو سیلاب میں ڈال دیا، جس کی تصدیق کئی دنوں میں ہوئی۔ دیگر قابل ذکر کلسٹرز میں ایک لہر شامل تھی۔ @solana-labs سولانا ماحولیاتی نظام کو نشانہ بنانے والے ٹائپوسکوٹس (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — 7 جون اور 8 جون کو دو الگ الگ اشاعتی مہموں میں)، @nstrlabs خاندان (sdk, ixel, utils, shared-components, api-client, auth — اندرونی پیکیج نام کی جگہ کے خلاف انحصار کنفیوژن حملہ)، @klapp-login-platform گروپ (آبائی-sdk، oidc، راستے — ایک تصدیقی پلیٹ فارم کی نقالی کرنا)، internallib_v557 اور internallib_v984 (مبہم داخلی لائبریری کے مکاروں کے متعدد ورژن) pocteszep (6 ورژن 11 جون کو شائع ہوئے)، اور کرپٹو اور ویب 3 یوٹیلیٹیز کا ایک جھرمٹ بشمول blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87، اور farming-tools-12. morningstar-design-system پیکج 10 جون کو تین ورژنوں میں شائع ہوا، جس نے ایک معروف مالیاتی ڈیزائن کے نظام کی نقالی کی۔ PyPI میں، helixagentai, telegramlite، اور cdjeez ہفتے بھر میں تصدیق کی گئی تھی.
یہ الگ تھلگ بے ضابطگیاں نہیں تھیں۔ اس ہفتے جو چیز سامنے آئی وہ اندرونی پیکیج کے نام کی جگہوں کے خلاف انحصار کنفیوژن حملوں کا ارتکاز تھا، جس کی مسلسل کثیر روزہ اشاعت۔ sensivity کلسٹر، اور Web3 اور سولانا ٹولنگ کا مسلسل ہدف بنانا، ایک ایسا نمونہ جس نے 2026 میں نمایاں طور پر تیزی لائی ہے۔
یہ ہفتہ وار سنیپ شاٹ ہمارے جاری نقصاندہ کوڈ ڈائجسٹ کا حصہ ہے، جہاں ہم نئے خطرات کی توثیق کرتے ہیں اور DevSecOps ٹیموں کو ان کی حفاظت کے لیے قابل عمل انٹیلی جنس فراہم کرتے ہیں۔ pipelineنقصان ہونے سے پہلے۔
آئیے اس بات کو توڑتے ہیں کہ ہمیں اس ہفتے کیا ملا اور یہ کیوں اہمیت رکھتا ہے۔
نقصان دہ پیکجوں کو پیداوار تک پہنچنے نہ دیں۔
آپ کی ٹیمیں جن پیکجوں پر انحصار کرتی ہیں ان کا استعمال انٹری پوائنٹ کے طور پر ہو رہا ہے۔ Xygeni ابتدائی میلویئر کا پتہ لگانا ریئل ٹائم میں رجسٹریوں کی نگرانی کرتا ہے، اس لیے اس ہفتے کے ڈائجسٹ میں آنے والے خطرات کو آپ کی تعمیرات تک پہنچنے سے پہلے ہی بلاک کر دیا جاتا ہے۔
اس ہفتے کے نتائج ایک یاد دہانی ہیں کہ حکمت عملی مزید جان بوجھ کر ہو رہی ہے۔ ورژن فلڈنگ، نام کی جگہ کی نقالی، اور ملٹی ڈے کوآرڈینیٹڈ مہمات اب اہم معاملات نہیں ہیں، وہ ہیں standard حملہ آور پلے بک۔ ایک وقتی اسکین اور دستی آڈٹ ان مہمات کے ساتھ رفتار برقرار نہیں رکھ سکتے جو ایک ساتھ کئی دنوں اور رجسٹریوں میں درجنوں ورژن شائع کرتی ہیں۔
Xygeni کی Open Source Security حل آپ کی DevSecOps ٹیموں کو npm، PyPI اور اس سے آگے، اشاعت کے وقت نقصان دہ پیکجوں کا پتہ لگانے، حقیقی استحصالی خطرے کو ترجیح دینے، اور پتہ لگانے سے تدارک تک کے راستے کو مختصر کرنے کی اجازت دیتا ہے۔ لہذا آپ کی ٹیمیں سیکیورٹی پر سمجھوتہ کیے بغیر تیزی سے بھیج سکتی ہیں۔




