ہر ہفتے، ہمارے میلویئر کا پتہ لگانے کے نظام npm اور PyPI جیسی عوامی رجسٹریوں میں ہزاروں نئے اور اپ ڈیٹ شدہ پیکجوں کو اسکین کرتے ہیں۔ یہ ہفتہ کوئی استثنا نہیں تھا۔
ہم نے 12 جون سے 19 جون، 2026 کے درمیان 200 سے زیادہ نقصان دہ پیکجوں کی تصدیق کی، خاص طور پر npm پر، PyPI میں اضافی کیسز کے ساتھ۔ متعدد مربوط کلسٹرز میں نمودار ہوئے، ایک ہی نام کے تحت یا قریبی متعلقہ پیکیج فیملیز میں شائع ہونے والی بار بار بدنیتی پر مبنی ریلیز۔
اس ہفتے اسٹینڈ آؤٹ کیس تھا۔ sensivity، جس نے 2.5.x رینج میں 70 سے زیادہ ورژن والی ریلیز کے ساتھ npm کو سیلاب میں ڈال دیا، جس کی تصدیق کئی دنوں میں ہوئی۔ دیگر قابل ذکر کلسٹرز میں ایک لہر شامل تھی۔ @solana-labs سولانا ماحولیاتی نظام کو نشانہ بنانے والے ٹائپوسکوٹس (web3.js, web3-js, etherjs, spl-toke, ancor, web3js — 7 جون اور 8 جون کو دو الگ الگ اشاعتی مہموں میں) @nstrlabs کنبہ (sdk, ixel, utils, shared-components, api-client, auth - اندرونی پیکیج نام کی جگہ کے خلاف انحصار کنفیوژن حملہ) @klapp-login-platform گروپ (native-sdk, oidc, routes - ایک تصدیقی پلیٹ فارم کی نقالی کرنا) internallib_v557 اور internallib_v984 (مبہم داخلی لائبریری کے مکاروں کے متعدد ورژن) pocteszep (6 ورژن 11 جون کو شائع ہوئے)، اور کرپٹو اور ویب 3 یوٹیلیٹیز کا ایک جھرمٹ بشمول blockchain-helper-0, ethereum-kit-1, ethereum-kit-9, crypto-utils-7, wallet-sdk-9, defi-tools-39, swap-sdk-87، اور farming-tools-12. morningstar-design-system پیکج 10 جون کو تین ورژنوں میں شائع ہوا، جس نے ایک معروف مالیاتی ڈیزائن کے نظام کی نقالی کی۔
13 جون سے، رفتار تیز ہو گئی۔ دی houzidawang806 اکیلے کلسٹر نے ایک ہی دن میں 25 سے زیادہ ورژن شائع کیے، جن میں بہن بھائی شامل ہیں۔ houzidawang807 اور houzidawang808. metrics-pipeline-d8k2 پیکج کو 15 جون اور 18 جون کے درمیان 21 ورژنز میں مسلسل دوبارہ شائع کیا گیا - ایک مسلسل چوری کی مہم جو بلاک لسٹوں سے آگے رہنے کے لیے ڈیزائن کی گئی تھی۔ دی friendly-greeter-demo پیکیج پورے ہفتے کے دوران ورژن میں دوبارہ ظاہر ہوتا رہا۔ نئی انحصار کنفیوژن کی کوششیں سامنے آئیں xy-shared, axl-ui, loadninja-shared, carousel-controller-mixin, token-prices-cron, hemi-supply-cron, portal-backend, vault-strategies, اور بہت سے دوسرے - سبھی 999.x رینج میں فلایا ہوا ورژن نمبر رکھتے ہیں۔ بے ترتیب ہیکس لاحقوں کے ساتھ عام یوٹیلیٹی ناموں کا ایک تازہ جھرمٹ (color-utils-dee0, data-utils-d703, string-tools-be6c, type-check-816d, fmt-helpers-794b, metrics-probe-*) 18-19 جون کو شائع ہوا، اسکرپٹ شدہ بلک رجسٹریشن کے ساتھ مطابقت رکھتا ہے۔ ہفتہ کے ساتھ بند ہوا۔ trimprompt, trimprompt-hub, claude-cup، اور web3-crypto-address-utils 19 جون کو تصدیق ہوئی۔ PyPI میں، neuralbridge-sdk (4.5.x–5.1.x کے پانچ ورژن) deepstrain, teambot-ai, hello-test-s1، اور aiaddin-agent ہفتے بھر میں تصدیق کی گئی تھی.
یہ الگ تھلگ بے ضابطگیاں نہیں تھیں۔ اس ہفتے جو چیز سامنے آئی وہ داخلی پیکیج نام کی جگہوں کے خلاف انحصار کنفیوژن حملوں کا ارتکاز، ٹیک ڈاؤنز کو ختم کرنے کے لیے ڈیزائن کی گئی مسلسل کثیر روزہ اشاعتی مہمات، Web3 اور DeFi ٹولنگ کی مسلسل ہدف بندی (ایک ایسا نمونہ جس میں 2026 میں نمایاں طور پر تیزی آئی ہے)، اور عام، شور نما انجن کا بڑھتا ہوا استعمال تھا۔ درخت
یہ ہفتہ وار سنیپ شاٹ ہمارے جاری نقصاندہ کوڈ ڈائجسٹ کا حصہ ہے، جہاں ہم نئے خطرات کی توثیق کرتے ہیں اور DevSecOps ٹیموں کو ان کی حفاظت کے لیے قابل عمل انٹیلی جنس فراہم کرتے ہیں۔ pipelineنقصان ہونے سے پہلے۔ آئیے اس بات کو توڑتے ہیں کہ ہمیں اس ہفتے کیا ملا اور یہ کیوں اہمیت رکھتا ہے۔
مربوط مہمات کو آپ تک پہنچنے نہ دیں۔ Pipelines
اس ہفتے کا ڈائجسٹ کسی ایک خطرے کے بارے میں نہیں تھا۔ یہ پیمانے کے بارے میں تھا. 200 سے زیادہ تصدیق شدہ پیکجز، کئی دنوں میں مسلسل ورژن کا سیلاب، اور اسکرپٹ شدہ بلک رجسٹریشن مہم جو دستی جائزوں سے زیادہ تیزی سے چل رہی ہیں۔ حملہ آور آپ کے پکڑے جانے کا انتظار نہیں کر رہے ہیں۔
Xygeni ابتدائی میلویئر کا پتہ لگانا npm، PyPI، اور دیگر رجسٹریوں کو مسلسل مانیٹر کرتا ہے، اشاعت کے وقت خطرات کو جھنڈا لگاتا ہے، نہ کہ کسی تعمیر میں اترنے کے بعد۔ جب کوئی مہم چار دنوں میں ایک ہی بدنیتی پر مبنی پیکیج کے 21 ورژن شائع کرتی ہے، تو ہفتہ وار اسکین وقت پر کچھ نہیں پکڑتا۔
Xygeni کی Open Source Security حل آپ کی DevSecOps ٹیموں کو ریئل ٹائم مرئیت اور ترجیح دیتا ہے انہیں بالکل اس قسم کے مربوط دباؤ سے آگے رہنے کی ضرورت ہے، لہذا آپ pipelineاپنی ٹیموں کو سست کیے بغیر صاف ستھرا رہیں۔




