GitHub سیکیورٹی کی خلاف ورزی: CZ نے کرپٹو ڈیوس کو API کیز کو فوری طور پر گھمانے کے لیے خبردار کیا
ٹیبل آف کنٹینٹ GitHub نے اپنے داخلی کوڈ ریپوزٹریز تک غیر مجاز رسائی کی دریافت کے بعد ایک جامع سیکیورٹی تحقیقات کا آغاز کیا ہے۔ سیکورٹی کا واقعہ ایک سمجھوتہ شدہ VS کوڈ کی توسیع سے شروع ہوا جس نے ایک ملازم کے ورک سٹیشن میں دراندازی کی۔ 1/ ہم GitHub کے اندرونی ذخیروں تک غیر مجاز رسائی کے بارے میں اپنی تحقیقات کے حوالے سے اضافی تفصیلات کا اشتراک کر رہے ہیں۔ کل ہم نے ایک ملازم کے آلے کا پتہ لگایا اور اس میں ایک زہر آلود VS کوڈ کی توسیع شامل تھی۔ ہم نے بدنیتی پر مبنی ایکسٹینشن ورژن کو ہٹا دیا،… — GitHub (@github) 20 مئی 2026 مائیکروسافٹ کے زیر ملکیت پلیٹ فارم نے منگل کو سیکیورٹی کے خطرے کی نشاندہی کی اور اسے بے اثر کردیا۔ ان کے ردعمل میں بدنیتی پر مبنی توسیع کو ہٹانا، کمپرومائزڈ سسٹم کو قرنطین کرنا، اور فوری طور پر ان کے واقعے کے ردعمل کے پروٹوکول کو شروع کرنا شامل ہے۔ خلاف ورزی کے نتیجے میں تقریباً 3,800 اندرونی کوڈ ریپوزٹریوں تک غیر مجاز رسائی ہوئی۔ GitHub نے تصدیق کی ہے کہ یہ نمبر سائبر جرائم کی ذمہ داری قبول کرنے والی تنظیم کے بیانات سے مطابقت رکھتا ہے۔ ٹیم پی سی پی، ایک ہیکنگ اجتماعی، اس سیکیورٹی واقعے کے پیچھے مجرم کے طور پر آگے بڑھا ہے۔ یہ گروپ فعال طور پر زیرزمین فورمز پر نکالے گئے ڈیٹا کی مارکیٹنگ کر رہا ہے، جس میں GitHub کے بنیادی انفراسٹرکچر اور اندرونی ڈویژنوں سے ملکیتی کوڈ پر مشتمل تقریباً 4,000 ذخیروں کے قبضے کا الزام ہے۔ سیکورٹی کے محققین ٹیم پی سی پی کو ایک اعلی درجے کی دھمکی دینے والے اداکار کے طور پر نمایاں کرتے ہیں جو مالیاتی استحصال کے لیے قیمتی اسناد کو نکالنے کے مقصد کے ساتھ، ڈویلپر کے ماحول کو نشانہ بنانے کے لیے وسیع آٹومیشن کا استعمال کرتا ہے۔ رپورٹس بتاتی ہیں کہ وہ سمجھوتہ کی گئی معلومات کے لیے $50,000 کی منزل کی قیمت مانگ رہے ہیں۔ GitHub کی ابتدائی تحقیقات سے کوئی ایسا ثبوت نہیں ملتا جو یہ بتاتا ہو کہ ان کے داخلی ذخیروں کے باہر موجود کسٹمر کی معلومات سے سمجھوتہ کیا گیا تھا۔ پلیٹ فارم صارفین کو یقین دلاتا ہے کہ گاہک کے ذخیرے، انٹرپرائز تنصیبات، اور تنظیمی اکاؤنٹس متاثر نہیں ہوتے۔ ڈیولپمنٹ پلیٹ فارم نے پہلے ہی انتہائی حساس رسائی ٹوکنز پر ابتدائی کوششوں پر توجہ مرکوز کرتے ہوئے تنقیدی تصدیقی اسناد کے ذریعے چکر لگایا ہے۔ ان کی سیکیورٹی ٹیمیں سسٹم لاگز کی جانچ کرنا اور بعد میں کسی بھی بدنیتی پر مبنی رویے کے لیے چوکس نگرانی کو برقرار رکھتی ہیں۔ GitHub نے اپنی تحقیقات مکمل ہونے پر پوسٹ مارٹم کی ایک جامع رپورٹ جاری کرنے کا عہد کیا ہے۔ Binance کے بانی Changpeng Zhao سیکورٹی کے انکشاف پر ایک تیز ردعمل جاری کیا. اس نے کریپٹو کرنسی ڈویلپرز کے لیے ایک مضبوط سفارش پیش کی کہ وہ سورس کوڈ کے اندر سرایت شدہ تمام API اسناد کو فوری طور پر سائیکل کریں، خاص طور پر نجی ریپوزٹریز میں۔ "اگر آپ کے پاس اپنے کوڈ میں API کیز ہیں، یہاں تک کہ پرائیویٹ ریپوز بھی، اب وقت آگیا ہے کہ انہیں دو بار چیک کریں اور انہیں تبدیل کریں،" زاؤ نے کہا۔ کرپٹو کرنسی کے ڈویلپر وکندریقرت ایپلی کیشنز اور انفراسٹرکچر بنانے اور برقرار رکھنے کے لیے بڑے پیمانے پر GitHub پر انحصار کرتے ہیں۔ ایکسچینج API اسناد، والیٹ تک رسائی کی چابیاں، اور بنیادی ڈھانچے کی توثیق کے ٹوکنز اکثر خودکار تجارتی نظام، بلاکچین ایپلی کیشنز، اور ترقیاتی ٹولز میں تعیناتی کے لیے ذخیرہ خانوں میں سرایت کیے جاتے ہیں۔ سائبرسیکیوریٹی پروفیشنلز ڈویلپرز کو مشورہ دے رہے ہیں کہ وہ گٹ ہب سیکرٹ اسکیننگ، گٹلیکس یا ٹریوی جیسے خصوصی ٹولز کا استعمال کرتے ہوئے سرایت شدہ رازوں کے لیے مکمل اسکین کریں۔ وہ بھی سختی سے تجویز کر رہے ہیں کہ ہارڈ کوڈنگ حساس اسناد کو براہ راست ورژن کے زیر کنٹرول ریپوزٹریوں میں تبدیل کرنے کی مشق سے ہٹ جائیں۔ یہ سیکیورٹی واقعہ گرافانا لیبز میں ایک علیحدہ سمجھوتے کے پیچھے ہے، جس نے منگل کو سپلائی چین حملے کا انکشاف کیا۔ دھمکی آمیز اداکاروں نے اپنے GitHub کے بنیادی ڈھانچے میں گھس کر بھتہ خوری کے مطالبات جاری کیے، جنہیں کمپنی نے پورا کرنے سے انکار کر دیا۔ GitHub سمجھوتہ بھی 28 اپریل کو سیکیورٹی کے شدید خطرے کے انکشاف کے فوراً بعد ابھرتا ہے، CVE-2026-3854۔ اس خاص خامی نے توثیق شدہ صارفین کو GitHub کے سرور انفراسٹرکچر پر غیر مجاز کمانڈز پر عمل درآمد کرنے کے قابل بنایا اور ممکنہ طور پر لاکھوں عوامی اور نجی کوڈ ریپوزٹریوں سے سمجھوتہ کیا۔ GitHub نے کہا ہے کہ وہ اپنے ٹیکنالوجی کے بنیادی ڈھانچے کی مسلسل نگرانی کو برقرار رکھے گا اور تحقیقات کے پورے عمل میں جاری اپ ڈیٹس فراہم کرے گا۔