- સાત એડસ્પેક્ટ-ક્લોક્ડ npm પેકેજોમાં ટ્રાફિક ફિલ્ટરિંગ, નકલી કેપ્ચા અને સંશોધન વિરોધી યુક્તિઓનો ઉપયોગ કરવામાં આવ્યો હતો; એકે છેતરપિંડી તરીકે કામ કર્યું.
- "ઇન્ડોનેશિયનફૂડ્સ" તરીકે ઓળખાતા મોટા પાયે સ્પામમાં નિષ્ક્રિય સ્ક્રિપ્ટો, પેટર્નવાળી નામકરણ અને નિર્ભરતા સાંકળનો ઉપયોગ કરીને રજિસ્ટ્રીમાં ભરાવો થયો.
- વ્યાપ દસ હજારથી વધારીને 150,000 થી વધુ પેકેજો સુધી વધારવામાં આવ્યો; એમેઝોન ઇન્સ્પેક્ટર અને ઓપનએસએસએફે MAL-ID અને ટેકડાઉનનું સંકલન કર્યું.
- ઘટાડામાં નિર્ભરતા ઓડિટ, પ્રતિબંધિત પ્રકાશન અધિકારો, નિષ્ક્રિય ફાઇલો માટે SCA, દર મર્યાદા, SBOMs અને મજબૂત એકાઉન્ટ ચકાસણીનો સમાવેશ થાય છે.
જાવાસ્ક્રિપ્ટ ઇકોસિસ્ટમના સૌથી વ્યસ્ત કેન્દ્ર તરીકે, npm રજિસ્ટ્રી એકસાથે બે ખૂબ જ અલગ અલગ ધમકીઓનો સામનો કરી રહ્યું છે: પેકેજોનો એક નાનો સમૂહ જે વપરાશકર્તાઓને ક્લોકિંગ દ્વારા શાંતિથી રીડાયરેક્ટ કરે છે, અને એક વ્યાપક ઝુંબેશ જે ક્રિપ્ટો રિવોર્ડ્સનો પીછો કરવા માટે જંકને મોટા પાયે પ્રકાશિત કરે છે. બંને મુદ્દાઓ, અલગ હોવા છતાં, પરિચિત અંતરાઓ દર્શાવે છે સપ્લાય-ચેઇન સંરક્ષણ.
બહુવિધ ટીમોના સંશોધકો અહેવાલ આપે છે કે હુમલાખોરોએ ટ્રાફિક ક્લોકિંગ, ઓટોમેશન અને ઓપન-સોર્સ વિતરણને સંયુક્ત રીતે જોડ્યું. પીડિતોને સંદિગ્ધ સ્થળોએ લઈ જવા અથવા અભૂતપૂર્વ સ્તરે ઓછા મૂલ્યના પેકેજોથી ઇન્ડેક્સને છલકાવવા માટે. આ કિસ્સાઓ દર્શાવે છે કે જ્યારે રેલિંગ હુમલાખોર સર્જનાત્મકતાથી પાછળ રહે છે ત્યારે સમુદાય સામે પ્રોત્સાહનો અને ટૂલિંગને કેવી રીતે વિકૃત કરી શકાય છે.
ક્લોકિંગ-આધારિત રીડાયરેક્ટ્સ npm પેકેજોને ટ્રાફિક ગેટ્સમાં ફેરવે છે
તપાસકર્તાઓએ એક જ વ્યક્તિ સાથે જોડાયેલા સાત npm પેકેજોની ઓળખ કરી જે વાસ્તવિક વપરાશકર્તાઓને સંશોધકોથી વિભાજીત કરવા માટે એડસ્પેક્ટ સેવાનો ઉપયોગ કરો અને સાચું પેલોડ છુપાવો"dino_reborn" નામના હવે દૂર કરાયેલા એકાઉન્ટને આભારી આ પેકેજો સપ્ટેમ્બર અને નવેમ્બર 2025 ની વચ્ચે દેખાયા હતા, જેમાં ડાઉનલોડની સંખ્યા સેંકડોમાં ઓછી હતી.
છ પેકેજોમાં આશરે 39 kB ઘટક હતું જે પર્યાવરણને ફિંગરપ્રિન્ટ કરે છે, બ્રાઉઝરમાં ડેવલપર ટૂલિંગને અવરોધિત કરે છે (વિશ્લેષણને અવરોધવા માટે), અને એકવાર આયાત થયા પછી તરત જ જાવાસ્ક્રિપ્ટના IIFE પેટર્ન દ્વારા અમલમાં મુકાય છે. સાતમું પેકેજ, "સિગ્નલ્સ-એમ્બેડ", દ્વારા અલગ પાડવામાં આવ્યું એક હાનિકારક સફેદ પાનું એક બનાવટી વસ્તુ તરીકે પહોંચાડવું સ્પષ્ટપણે દુર્ભાવનાપૂર્ણ વર્તન કરતાં.
જ્યારે ઇમ્પ્લાન્ટ કરેલી સાઇટ્સ લોડ થાય છે, ત્યારે ટ્રાફિક પ્રોક્સી એન્ડપોઇન્ટ દ્વારા મોકલવામાં આવે છે association-googlexyz/adspect-proxyphp, જે મુલાકાતી પીડિત જેવો દેખાય છે કે સંશોધક તે નક્કી કરવામાં મદદ કરે છે. જો પીડિત તરીકે ટૅગ કરવામાં આવે, તો વપરાશકર્તા નકલી કેપ્ચા જુએ છે જે આખરે સેવાઓનો ઢોંગ કરતા ક્રિપ્ટો-થીમ આધારિત પૃષ્ઠોને ફોરવર્ડ કરે છે (દા.ત., સ્ટેન્ડએક્સ). જો સંભવિત વિશ્લેષક તરીકે ચિહ્નિત કરવામાં આવે, તો પૃષ્ઠ એક સાદો બનાવટી દૃશ્ય બતાવે છે અને ઑફલિડો નામની કાલ્પનિક કંપની સાથે સંબંધિત બોઇલરપ્લેટ પણ શામેલ કરે છે.
એડસ્પેક્ટ પોતાને એક તરીકે માર્કેટ કરે છે બોટ્સ અથવા AV ક્રોલર્સ જેવા "અનિચ્છનીય" ટ્રાફિકને અવરોધિત કરવા માટે ક્લાઉડ ક્લોકિંગ સેવા, ટાયર્ડ પ્લાન ઓફર કરે છે અને "બુલેટપ્રૂફ ક્લોકિંગ"નું વચન આપે છે. આ એડ-ટેક સ્ટાઇલ ફિલ્ટરિંગ જોઈને જડિત npm પેકેજોમાં અસામાન્ય રહે છે, અને સંશોધકો તેને અસરકારક રીતે નોંધે છે ટ્રાફિક-ગેટિંગ લોજિકને ઓપન-સોર્સ વિતરણમાં સમાવે છે તેથી કોડ વાસ્તવિક સમયમાં નક્કી કરે છે કે કોને વાસ્તવિક પેલોડ મળે છે.
કારણ કે એસેટ લોડ થતાંની સાથે જ લોજિક ચાલે છે, વર્તનને ટ્રિગર કરવા માટે કોઈ વપરાશકર્તા ક્રિયાપ્રતિક્રિયાની જરૂર નથી.. તે તાત્કાલિક અમલીકરણ પ્રવાહ - અને ડેવલપર ટૂલ્સ પર બ્રાઉઝર-સ્તરના બ્લોક્સ - વિશ્લેષણને જટિલ બનાવે છે અને આકસ્મિક નિરીક્ષણ માટે યોજનાને દૃષ્ટિથી દૂર રાખવામાં મદદ કરે છે.
ટોકન રિવોર્ડ્સ દ્વારા સંચાલિત એક વ્યાપક npm સ્પામ કામગીરી
એક અલગ વિકાસમાં, સુરક્ષા ટીમોએ એક વિશાળ સમૂહનો પર્દાફાશ કર્યો સ્પામી npm પેકેજો લગભગ બે વર્ષમાં મોજામાં પ્રકાશિત, શરૂઆતમાં સૌમ્ય દેખાતું હતું પરંતુ નકલ અને નાણાકીય લાભ માટે રચાયેલ હતું. સામૂહિક રીતે "ઇન્ડોનેશિયન ફૂડ્સ" તરીકે ઓળખાતા, આ પ્રયાસમાં એક સુસંગત નામકરણ યોજનાનો ઉપયોગ કરવામાં આવ્યો હતો જે જોડી બનાવે છે ખાદ્ય શબ્દો સાથે રેન્ડમ ઇન્ડોનેશિયન પ્રથમ નામો અને વિવિધ પ્રત્યયોનો ઉપયોગ કરીને હજારો બુદ્ધિગમ્ય-અવાજવાળા પેકેજો ઉત્પન્ન કરી શકાય છે.
સપાટી પર, ઘણી એન્ટ્રીઓ કાયદેસર લાગતી હતી - કેટલીક તો મોકલવામાં આવી હતી કાર્યાત્મક Next.js ટેમ્પ્લેટ્સ. પણ અંદર ન વપરાયેલી ફાઇલો દટાયેલી હતી જેમ કે ઓટો.જેએસ or પ્રકાશિતસ્ક્રિપ્ટ.જેએસ કે, જ્યારે મેન્યુઅલી ચલાવવામાં આવે છે, ઉચ્ચ ગતિએ નવા પેકેજો બનાવ્યા, સુધારેલા વર્ઝન, અને ગોપનીયતા ગાર્ડરેલ્સ દૂર કર્યા. ખરેખર સ્વાયત્ત કૃમિ જેવા વર્તનને બદલે, આ સરળતાથી લોન્ચ કરી શકાય તેવું ઓટોમેશન હતું જેણે ઝડપી સ્કેલમાં વધારો કર્યો.
સ્પામનું વેબ ઘણીવાર આઠ થી દસ અન્ય બોગસ ડિપેન્ડન્સીનો ઉલ્લેખ કરતું હતું, નિર્ભરતા શૃંખલાઓ દ્વારા અસરને બલૂનમાંથી બહાર કાઢવી. એક ઇન્સ્ટોલ કરો, અને npm શાંતિથી ડઝનેક વધુ ખેંચી શકે છે, વિકાસકર્તાઓના મશીનોને તાત્કાલિક, સ્પષ્ટ નુકસાન પહોંચાડ્યા વિના રજિસ્ટ્રી ક્લટરને વધારે છે.
મુદ્રીકરણ આ સાથે જોડાયેલું દેખાય છે TEA પ્રોટોકોલના ઓપન-સોર્સ પુરસ્કારો. બહુવિધ પેકેજો શામેલ છે ચા.યામલ ચોક્કસ ખાતાઓ અને વોલેટ સરનામાંઓ તરફ ઈશારો કરીને - પ્રયાસ સૂચવીને ઇમ્પેક્ટ સ્કોર્સ વધારો અને ટોકન ચૂકવણી કાઢો. કેટલાક કિસ્સાઓમાં દસ્તાવેજીકરણમાં આ કમાણીનો ઉલ્લેખ પણ કરવામાં આવ્યો હતો, જે રેન્ડમ પ્રયોગોને બદલે સંકલિત, નફા-આધારિત યોજનાની કલ્પનાને મજબૂત બનાવે છે.
વિવિધ સંશોધન જૂથોએ વિવિધ તબક્કામાં તરંગ માપ્યું: તારણો આમાંથી હતા ઝુંબેશની શરૂઆતમાં આશરે 43,000 સ્પામ અપલોડ થયા હતા 100,000 થી વધુ પછી, સાથે એમેઝોન ઇન્સ્પેક્ટર આખરે 150,000+ પેકેજોની જાણ કરે છે નવેમ્બર 2025 ના મધ્ય સુધીમાં બહુવિધ ખાતાઓમાં. વૃદ્ધિનો ખુલાસો થયો રજિસ્ટ્રી રેટ મર્યાદા, મેટાડેટા તપાસ, અને પેટર્ન શોધ ધ્યાન આપવાની જરૂર હોય તેવા ક્ષેત્રો તરીકે.
સ્કેનર્સ કેમ ચૂકી ગયા અને શું બદલાયું
આ ઝુંબેશ આટલી લાંબી ચાલી તેનું મુખ્ય કારણ એ હતું કે મોટાભાગના ઓટોમેટેડ ટૂલિંગ શોધે છે ઇન્સ્ટોલ-ટાઇમ માલવેર- ઉદાહરણ તરીકે, શંકાસ્પદ પોસ્ટઇન્સ્ટોલ હૂક અથવા ફાઇલ-સિસ્ટમ પ્રવૃત્તિ. અહીં, પેલોડ નિષ્ક્રિય અને સંદર્ભ વિનાનું હતું, તેથી સામાન્ય હ્યુરિસ્ટિક્સે તેને હાનિકારક તરીકે લેબલ કર્યું. સક્રિય ટ્રિગર્સ વિના, સ્કેનર્સ વારંવાર વધારાની ફાઇલોને સૌમ્ય અવ્યવસ્થા તરીકે ગણવામાં આવી.
બીજું પરિબળ પ્રકાશનનું પ્રમાણ અને ગતિ હતી: સ્ક્રિપ્ટો દર થોડીક સેકન્ડે નવા પેકેજો પુશ કરી શકે છે, ક્લાસિક માલવેર સિગ્નેચર્સને ટ્રિપ કર્યા વિના જબરદસ્ત વોલ્યુમ બનાવ્યું. અહેવાલો નોંધે છે કે ઘણી સુરક્ષા ડેટા સિસ્ટમો સલાહકારોથી છલકાઈ ગઈ હતી, જેમાં મોટા પાયે સ્પાઇક્સનો સમાવેશ થાય છે OSV-લિંક્ડ ચેતવણીઓ.
ઓક્ટોબર 2025 ના અંત સુધીમાં, એમેઝોન ઇન્સ્પેક્ટરે એક નવો શોધ નિયમ લાગુ કર્યો. AI-સંચાલિત પેટર્નિંગ સાથે જોડી બનાવી tea.yaml ની હાજરી, ક્લોન કરેલ અથવા ન્યૂનતમ કોડ, અનુમાનિત નામકરણ, ઓટોમેટેડ જનરેશન ફિંગરપ્રિન્ટ્સ અને ગોળાકાર નિર્ભરતા સાંકળો જેવા સ્પષ્ટ લક્ષણો શોધવા માટે. નવેમ્બરની શરૂઆતમાં પેટર્નની પુષ્ટિ કર્યા પછી, ટીમે ઓપન સોર્સ સિક્યુરિટી ફાઉન્ડેશન (ઓપનએસએસએફ) MAL-IDs ઝડપથી સોંપવા માટે - સરેરાશ ટર્નઅરાઉન્ડ લગભગ 30 મિનિટનો હતો.
એક મહત્વપૂર્ણ સૂક્ષ્મતા: કેટલીક શરૂઆતની ટિપ્પણીઓએ આ ઝુંબેશને "કીડો" ગણાવી હતી. ત્યારબાદના અપડેટ્સે સ્પષ્ટ કર્યું કે પ્રતિકૃતિ તર્ક સ્વયં-પ્રસારિત થતો નથી.; તેનો અમલ થવો જ જોઈએ. તે સુધારો મહત્વપૂર્ણ છે, પણ પરિણામ -ઝડપી, ઔદ્યોગિક પેકેજ પૂર—હજુ પણ રજિસ્ટ્રી ઈન્ફ્રાસ્ટ્રક્ચર અને વિશ્વાસ પર તાણ છે.
એક્સપોઝર ઘટાડવા માટેના વ્યવહારુ પગલાં
સંસ્થાઓએ npm જોખમ ઘટાડાનો અભિગમ અપનાવવો જોઈએ કારણ કે એક સતત, સ્તરવાળી પ્રક્રિયા, નીતિ અને રજિસ્ટ્રી-જાગૃત નિયંત્રણો સાથે સક્રિય નિર્ભરતા સ્વચ્છતાનું મિશ્રણ. નીચેના પગલાં સંશોધકો અને ઇકોસિસ્ટમના સંચાલકો શું સલાહ આપી રહ્યા છે તે પ્રતિબિંબિત કરે છે.
- જાણીતા-ખરાબ પ્રકાશકોની યાદીઓ સામે નિર્ભરતા ચકાસો અને શંકાસ્પદ અથવા ઓછી ગુણવત્તાવાળા પેકેજો દૂર કરો.
- npm પ્રકાશન પ્રતિબંધિત કરો CI/CD અને ચકાસાયેલ જાળવણીકારોને પરવાનગીઓ; પ્રતિકૃતિ સ્ક્રિપ્ટોના આકસ્મિક અમલને અટકાવો.
- સક્ષમ સોફ્ટવેર કમ્પોઝિશન એનાલિસિસ (SCA) અપનાવો નિષ્ક્રિય ફાઇલો, પેટર્નવાળી નામકરણ, અથવા ગોળાકાર નિર્ભરતા વેબ્સને ફ્લેગ કરવું.
- દાખલ કરો દર મર્યાદા અને વર્તણૂકીય દેખરેખ મોટા પ્રમાણમાં સબમિશન માટે; કેપ્ચા અને કડક એકાઉન્ટ ચકાસણીનો વિચાર કરો.
- તમારી પાઇપલાઇનને આનાથી સખત બનાવો SBOM, વર્ઝન પિનિંગ, અને આઇસોલેટેડ CI/CD, વત્તા સખત સહી અને ઉદ્ભવસ્થાન તપાસ.
જ્યારે સંયુક્ત થાય છે, ત્યારે આ પગલાં રજિસ્ટ્રીમાં અવાજ ઓછો કરો અને દુર્ભાવનાપૂર્ણ અથવા ચાલાકીભર્યા વર્તનને સરળતાથી ઓળખો.. જો ખરાબ પેકેજ ગ્રાફમાં સરકી જાય તો તેઓ બ્લાસ્ટ રેડિયસ પણ ઘટાડે છે.
બંને ઘટનાઓમાં, થ્રુ લાઇન સરળ છે: હુમલાખોરો પ્રોત્સાહનો અને અંધ સ્થળોને અનુસરે છે. ભલે તે વિશ્લેષકોને પીડિતોમાંથી ફિલ્ટર કરતું ક્લોકિંગ લોજિક હોય કે પછી કાયદેસર કાર્યને ડૂબાડી દેતું ઓટોમેટેડ ટોકન-ફાર્મિંગ હોય, જવાબ વધુ સારી દૃશ્યતા, ઝડપી સહયોગ અને નીતિઓમાં રહેલો છે જે દુરુપયોગને વધુ મુશ્કેલ અને મોટા પાયે ખર્ચાળ બનાવે છે.
