GitHub کی خلاف ورزی کا سراغ زہر آلود VS کوڈ ایکسٹینشن سے ملا
آن لائن کوڈ ریپوزٹری فرم GitHub کا کہنا ہے کہ اس کے داخلی ڈیٹا کی حالیہ خلاف ورزی عملے کے ایک رکن نے "زہریلے" VS کوڈ کی توسیع کو ڈاؤن لوڈ کرنے سے کی ہے۔
مائیکروسافٹ کی ملکیت والی فرم نے آج صبح کے اوائل میں سب سے پہلے انکشاف کیا کہ وہ اپنے اندرونی ذخیروں تک غیر مجاز رسائی کی تحقیقات کر رہی ہے۔
تب سے، GitHub نے اشتراک کیا ہے کہ خلاف ورزی نے صرف اندرونی GitHub ذخیروں کو متاثر کیا ہے۔
اس میں مزید کہا گیا، "حملہ آور کے ~ 3,800 ذخیروں کے موجودہ دعوے ہماری اب تک کی تفتیش کے مطابق ہیں۔"
خلاف ورزی میں مائیکروسافٹ کے VS کوڈ ایکسٹینشن مارکیٹ پلیس سے ڈاؤن لوڈ کردہ ایک بدنیتی پر مبنی VS کوڈ ایکسٹینشن شامل ہے۔ VS Code کا مطلب ہے Visual Studio Code، اور مارکیٹ پلیس کوڈ ایڈیٹرز کو ڈاؤن لوڈ کرنے کے لیے مختلف ٹولز اور ایپلیکیشنز پیش کرتا ہے۔
1/ ہم GitHub کے داخلی ذخیروں تک غیر مجاز رسائی کے بارے میں اپنی تحقیقات کے حوالے سے اضافی تفصیلات شیئر کر رہے ہیں۔ کل ہم نے ایک ملازم ڈیوائس کا پتہ لگایا اور اس میں ایک زہریلا VS کوڈ کی توسیع شامل تھی۔ ہم نے بدنیتی پر مبنی ایکسٹینشن ورژن کو ہٹا دیا،…
— GitHub (@github) 20 مئی 2026
GitHub کا کہنا ہے کہ وہ "تفتیش مکمل ہونے کے بعد ایک مکمل رپورٹ شائع کرے گا۔"
GitHub کے ذخیروں کی خلاف ورزی کرنے کا دعوی کرنے والا ہیکنگ گروپ TeamPCP ہے، جس کا تعلق Mini Shai Halud سپلائی چین حملے سے ہے جس نے OpenAI کو متاثر کیا، نیز ڈویلپر سوفٹ ویئر کو نشانہ بنانے والے دیگر سپلائی چین حملوں کی ایک بڑی تعداد۔
یہ گروپ بریچڈ ہیکنگ فورم پر تقریباً 4,000 پرائیویٹ ریپوزٹریوں کو $50,000 سے کم میں فروخت کر رہا ہے جبکہ اس بات پر زور دیتے ہوئے کہ وہ کسی بھی "کم بال کی پیشکش" کو قبول نہیں کرے گا۔
اس میں کہا گیا ہے، "یہ تاوان نہیں ہے، ہمیں GitHub سے بھتہ لینے کی کوئی پرواہ نہیں ہے۔" اس کے اختتام پر موجود ڈیٹا کو فروخت کے بعد قیاس کیا جائے گا کہ "ٹکڑا" جائے گا، اور اگر اسے کوئی خریدار نہیں مل سکا، تو ٹیم پی سی پی نے کہا کہ یہ ڈیٹا کو مفت میں لیک کر دے گا۔
GitHub کا کہنا ہے کہ اس نے 'نقصانیت پر مبنی توسیع' کو ہٹا دیا ہے
GitHub کا دعویٰ ہے کہ اس نے "بد نیتی پر مبنی توسیعی ورژن کو ہٹا دیا، اختتامی نقطہ کو الگ تھلگ کر دیا، اور فوری طور پر واقعے کا ردعمل شروع کر دیا۔"
فرم نے کہا کہ "اہم رازوں کو کل اور راتوں رات سب سے زیادہ اثر انداز ہونے والے اسناد کے ساتھ گھمایا گیا تھا،" فرم نے مزید کہا کہ وہ صورتحال کی نگرانی جاری رکھے گی۔
اس واقعے کا استقبال معاف کرنے والا نہیں ہے۔ صارفین نے Microsoft اور GitHub کے سابق ایگزیکٹوز کے خلاف دیرینہ شکایات نوٹ کیں جنہوں نے VS کوڈ ایکسٹینشن مارکیٹ پلیس میں میلویئر سے متاثرہ ڈاؤن لوڈز کے حل کے لیے کہا ہے۔
کیا آپ vscode ایکسٹینشن مارکیٹ پلیس میں میلویئر تعینات کرنے والے لوگوں سے مسئلہ حل کر سکتے ہیں؟ میں ہر ہفتے [email protected] پر میل بھیج کر تھک گیا ہوں، اپنے بازار کو ٹھیک کرو
— کراکوویا (@krakovia_evm) دسمبر 19، 2024
یہ شکایت دو سال قبل GitHub کے سابق سی ای او کے خلاف عائد کی گئی تھی۔
بائننس کے سابق سی ای او چانگپینگ ژاؤ نے متنبہ کیا، "اگر آپ کے کوڈ میں API کیز ہیں، یہاں تک کہ پرائیویٹ ریپوز بھی، اب وقت آگیا ہے کہ انہیں دو بار چیک کریں اور انہیں تبدیل کریں..."
کوڈنگ فرم ٹری ہاؤس کے سی ای او، ریان کارسن نے اسی طرح خبردار کیا، "اگر آپ کے پاس سادہ متن کے راز یا حساس دستاویزات/آرکیٹیکچرز کے ساتھ کوئی نجی ذخیرہ ہے، تو فوری طور پر اپنے راز کو گھمائیں۔"
کرپٹو سیکیورٹی ماہر ٹیلر مونہن نے ژاؤ کے بیان میں اضافہ کیا، اور کہا کہ آپ کو اپنی API کیز کو "اپنے ریپوز سے باہر" حاصل کرنا چاہیے۔
"آپ کا سب سے بڑا خطرہ یہ نہیں ہے، یہ آپ کے اپنے دیواس ہیں جو ان میں سے ایک کیڑے کی مدر فکنگ سپلائی چین کا شکار ہو رہے ہیں اور ان تمام رازوں کو افشا کر رہے ہیں،" موناہن نے کہا۔
دنوں میں دوسرا GitHub لیک
سافٹ ویئر فرم گرافانا نے بھی اس ہفتے کے شروع میں دعویٰ کیا تھا کہ اس نے اپنے GitHub ذخیروں تک غیر مجاز رسائی کا مشاہدہ کیا ہے۔
اس کا دعویٰ ہے کہ حملہ آوروں نے "ڈیٹا کے انکشاف کے خطرے کے تحت تاوان کا مطالبہ" جاری کرنے سے پہلے "ہمارا کوڈ بیس ڈاؤن لوڈ کیا"۔
⚠️ 16 مئی 2026 کو، ہم نے ایک سائبر کرائم گروپ کی طرف سے ہدف بنائے گئے حملے کی تصدیق کی جس نے ہمارے GitHub ریپوزٹریز تک غیر مجاز رسائی حاصل کی اور ہمارے کوڈ بیس کو ڈاؤن لوڈ کیا۔ ہماری تحقیقات کے بارے میں تازہ ترین اپ ڈیٹ یہ ہے۔ https://t.co/C2btjWDOxu
— گرافانا (@grafana) مئی 19، 2026
اس معاملے میں، گرافانا کا دعویٰ ہے کہ خلاف ورزی منی شائی-ہولد مہم سے وابستہ سپلائی چین حملے سے بھی ہوئی ہے۔
اس نے کہا، "ہم نے تجزیہ کیا اور GitHub ورک فلو ٹوکنز کی ایک قابل ذکر تعداد کو تیزی سے گھمایا، لیکن ایک چھوٹا ٹوکن حملہ آوروں کو ہمارے GitHub ذخیروں تک رسائی حاصل کرنے کا باعث بنا۔ بعد کے جائزے نے اس بات کی تصدیق کی کہ ایک مخصوص GitHub ورک فلو جس کو ہم اصل میں متاثر نہیں سمجھتے تھے، درحقیقت سمجھوتہ کیا گیا تھا۔"
2024 میں، Binance سے لیک ہونے والے پاس ورڈز اور سائٹ کوڈ GitHub پر مہینوں تک دیکھے جا سکتے تھے اس سے پہلے کہ وہ آخر کار ہٹائے جائیں۔
ایکسچینج نے کہا کہ لیکس "شدید مالی نقصان" کا باعث بننے کے قابل ہیں اور اس کے ڈیٹا کو اپ لوڈ کرنے کی کبھی اجازت نہیں دی گئی تھی۔
Protos تبصرہ کے لیے GitHub تک پہنچ گیا ہے اور اگر ہمیں کچھ بھی سننے کو ملے تو وہ اس ٹکڑے کو اپ ڈیٹ کر دے گا۔