कैसे एक अकेले VS Code एक्सटेंशन ने GitHub के आंतरिक कोडबेस के दरवाजे खोल दिए
आधुनिक सॉफ्टवेयर विकास का वास्तुशिल्प विरोधाभास यह है कि हमारे सबसे सुरक्षित किले अक्सर सबसे नाजुक उपकरणों पर निर्भर होते हैं। हम एन्क्रिप्शन और मल्टी-फैक्टर ऑथेंटिकेशन की परतों के साथ उच्च-उपलब्धता, विश्व स्तर पर वितरित प्लेटफॉर्म बनाते हैं, फिर भी पूरी इमारत अक्सर एक एकल डेवलपर के वर्कस्टेशन की अखंडता पर टिकी होती है। पिछले मंगलवार को, यह वास्तविकता GitHub के लिए सामने आई, जो माइक्रोसॉफ्ट के स्वामित्व वाली सहायक कंपनी है और दुनिया के सोर्स कोड के लिए वास्तविक तिजोरी के रूप में कार्य करती है। जबकि GitHub का प्राथमिक बुनियादी ढांचा मजबूत बना हुआ है, एक कर्मचारी के डिवाइस के साथ समझौते ने TeamPCP के रूप में जाने जाने वाले खतरे के हमलावर को लगभग 3,800 आंतरिक रिपॉजिटरी को चोरी (exfiltrate) करने की अनुमति दी।
जोखिम के नजरिए से, यह घटना एक पाठ्यपुस्तक उदाहरण है कि कैसे एक मिशन-क्रिटिकल वातावरण को कोर प्लेटफॉर्म में जीरो-डे के माध्यम से नहीं, बल्कि उन परिधीय उपकरणों के माध्यम से बायपास किया जा सकता है जिनका उपयोग डेवलपर्स इसके साथ इंटरैक्ट करने के लिए करते हैं। आज एक डेवलपर के अटैक सरफेस का आकलन करने का मतलब क्लाउड कंसोल से परे और स्थानीय IDE (इंटीग्रेटेड डेवलपमेंट एनवायरमेंट) में देखना है। इस मामले में, प्रवेश द्वार एक जहरीला माइक्रोसॉफ्ट विजुअल स्टूडियो कोड एक्सटेंशन था। यह एक गंभीर याद दिलाता है कि जब हम एन्क्रिप्शन को एक अटूट डिजिटल तिजोरी के रूप में मानते हैं, तो वह तिजोरी केवल उतनी ही सुरक्षित होती है जितना कि चाबियां रखने वाला व्यक्ति—और वे उपकरण जिनका उपयोग वे उन्हें घुमाने के लिए करते हैं।
चुराए गए रहस्यों का बाजार
कहानी तब सामने आई जब TeamPCP, जो पहले से ही सप्लाई चेन हमलों की एक श्रृंखला के लिए कुख्यात है, ने एक प्रसिद्ध साइबर अपराध मंच पर बिक्री के लिए GitHub के आंतरिक सोर्स कोड को सूचीबद्ध किया। मांग की गई कीमत $50,000 थी, जिसे समूह ने मजाक में अपने रिटायरमेंट फंड के रूप में वर्णित किया। पारंपरिक रैनसमवेयर समूहों के विपरीत, जो डिजिटल बंधक स्थितियों पर फलते-फूलते हैं, TeamPCP ने स्पष्ट रूप से कहा कि यह जबरन वसूली का प्रयास नहीं था। उनका इरादा डेटा को एक ही खरीदार को बेचने और फिर अपनी कॉपी को "नष्ट" करने का था, या यदि कोई खरीदार नहीं मिला तो इसे मुफ्त में लीक करने का था।
जब मैंने पहली बार Dark Web Informer द्वारा साझा किए गए स्क्रीनशॉट देखे, तो मैंने दावों को सत्यापित करने के लिए Signal के माध्यम से कुछ इंसिडेंट रिस्पोंडर्स से संपर्क किया। हालांकि मंचों पर शेखी बघारना आम बात है, लेकिन TeamPCP द्वारा प्रदान किए गए तकनीकी विवरण—विशेष रूप से रिपॉजिटरी की संख्या और नामकरण परंपराएं—इतने सटीक थे कि उन्हें अनदेखा नहीं किया जा सकता था। GitHub ने अंततः पुष्टि की कि हमलावर का लगभग 3,800 रिपॉजिटरी का दावा उनकी आंतरिक फोरेंसिक जांच के साथ काफी हद तक सुसंगत था। यह डेटा चोरी गोपनीयता का एक महत्वपूर्ण उल्लंघन है, भले ही प्लेटफॉर्म पर संग्रहीत ग्राहक डेटा की अखंडता, GitHub के अनुसार, वर्तमान में अप्रभावित बनी हुई है।
एक गुप्त प्रवेश बिंदु के रूप में IDE
GitHub की जांच ने इस समझौते का पता एक जहरीले VS Code एक्सटेंशन से लगाया। हालांकि उन्होंने आधिकारिक तौर पर विशिष्ट प्लगइन का नाम नहीं लिया, लेकिन समय Nx Console एक्सटेंशन के ज्ञात समझौते के साथ पूरी तरह मेल खाता है। यहीं पर वास्तुशिल्प विरोधाभास सबसे अधिक दिखाई देता है: GitHub को उम्मीद थी कि उनके कड़े आंतरिक एक्सेस कंट्रोल जोखिम को कम करेंगे, लेकिन एक विश्वसनीय डेवलपर टूल की भेद्यता ने उन सीमाओं को बेकार कर दिया।
पर्दे के पीछे, हमलावर ने संभवतः एक्सटेंशन के भीतर एम्बेडेड एक मल्टी-स्टेज क्रेडेंशियल स्टीलर का उपयोग किया था। चूंकि डेवलपर्स अक्सर अपने IDE को स्थानीय फाइलों, एनवायरमेंट वेरिएबल्स और SSH कुंजियों के साथ इंटरैक्ट करने के लिए व्यापक अनुमति देते हैं, इसलिए एक समझौता किया गया एक्सटेंशन प्रभावी रूप से एक VIP क्लब का बाउंसर है जिसने गलत भीड़ को पिछले दरवाजे से अंदर आने देने का फैसला किया है। एक बार जब एक्सटेंशन कर्मचारी के डिवाइस पर सक्रिय हो गया, तो हमलावर के लिए आंतरिक रिपॉजिटरी को क्लोन करने के लिए आवश्यक टोकन और क्रेडेंशियल्स को स्क्रैप करना आसान हो गया। नतीजतन, GitHub को अनुवर्ती गतिविधियों को रोकने के लिए उच्चतम-प्रभाव वाले क्रेडेंशियल्स को प्राथमिकता देते हुए एक बड़े पैमाने पर सीक्रेट रोटेशन अभ्यास शुरू करने के लिए मजबूर होना पड़ा।
मिनी शाई-हुलुड वर्म और PyPI पॉइजनिंग
GitHub की आंतरिक रिपॉजिटरी का उल्लंघन कोई अकेली घटना नहीं थी; यह एक बहुत बड़े, व्यापक अभियान के लिए एक महत्वपूर्ण मोड़ था। TeamPCP ने चोरी किए गए क्रेडेंशियल्स का उपयोग एक GitHub खाते से समझौता करने के लिए किया, जिसके पास durabletask PyPI पैकेज—एक आधिकारिक माइक्रोसॉफ्ट पायथन क्लाइंट—तक पहुंच थी। दुर्भावनापूर्ण संस्करणों (1.4.1, 1.4.2, और 1.4.3) को प्रकाशित करके, हमलावरों ने एक स्थानीय उल्लंघन को वैश्विक सप्लाई चेन खतरे में बदल दिया।
यह मैलवेयर, जिसे शोधकर्ताओं द्वारा "मिनी शाई-हुलुड" (Mini Shai-Hulud) नाम दिया गया है, विशेष रूप से गुप्त है। यह एक स्व-प्रतिकृति ड्रॉपर है जो पैकेज के आयात होते ही निष्पादित हो जाता है। खतरे के परिदृश्य को देखते हुए, हम शायद ही कभी पायथन पैकेजों में इस स्तर का परिष्कार देखते हैं। पेलोड, rope.pyz नामक एक दूसरे चरण की स्क्रिप्ट, एक पूर्ण विशेषताओं वाला इन्फोस्टीलर है जिसे विशेष रूप से लिनक्स सिस्टम के लिए डिज़ाइन किया गया है। यह केवल पासवर्ड नहीं ढूंढता है; यह सक्रिय रूप से 1Password और Bitwarden वॉल्ट को अनलॉक करने और डंप करने, HashiCorp Vault KV रहस्यों को इकट्ठा करने और Docker और VPN कॉन्फ़िगरेशन को स्क्रैप करने का प्रयास करता है।
| विशेषता | मिनी शाई-हुलुड का विवरण |
|---|---|
| लक्षित OS | विशेष रूप से लिनक्स (Linux) वातावरण के लिए अनुकूलित। |
| निरंतरता | चोरी किए गए टोकन का उपयोग करके क्लाउड इंस्टेंस में फैलता है। |
| गोपनीयता | बिना किसी दृश्य त्रुटि संदेश के आयात पर चुपचाप निष्पादित होता है। |
| डेटा चोरी | SSH कुंजियों, क्लाउड प्रदाता क्रेडेंशियल्स और पासवर्ड प्रबंधकों को लक्षित करता है। |
| जियोफेंसिंग | विशिष्ट क्षेत्रीय सेटिंग्स पर विनाशकारी कमांड चलाने के लिए लॉजिक शामिल है। |
क्लाउड इन्फ्रास्ट्रक्चर के माध्यम से लेटरल मूवमेंट
जो बात इस अभियान को वास्तव में खतरनाक बनाती है, वह यह है कि यह प्रसार के लिए आधुनिक बुनियादी ढांचे का लाभ कैसे उठाता है। यदि मैलवेयर को पता चलता है कि यह AWS वातावरण के भीतर चल रहा है, तो यह अन्य EC2 इंस्टेंस पर कूदने के लिए AWS सिस्टम्स मैनेजर (SSM) का उपयोग करने का प्रयास करता है। सक्रिय रूप से कहें तो, यह एक संक्रमित डेवलपर मशीन या CI/CD पाइपलाइन को एक आंतरिक वर्म के लिए लॉन्चपैड में बदल देता है। यदि यह खुद को कुबेरनेट्स (Kubernetes) क्लस्टर में पाता है, तो यह फैलने के लिए kubectl exec का उपयोग करता है।
एक प्रतिकार के रूप में, संगठन अक्सर नेटवर्क सेगमेंटेशन पर भरोसा करते हैं, लेकिन यह मैलवेयर वैध प्रबंधन प्रोटोकॉल का उपयोग करके नेटवर्क परिधि को पूरी तरह से बायपास कर देता है। यह FIRESCALE नामक एक आकर्षक बैकअप C2 (कमांड एंड कंट्रोल) तंत्र का भी उपयोग करता है। यदि प्राथमिक डोमेन अवरुद्ध है, तो मैलवेयर एक नया पता खोजने के लिए विशिष्ट base64-एन्कोडेड स्ट्रिंग्स के लिए सार्वजनिक GitHub कमिट संदेशों को खोजता है। C2 के लिए यह विकेंद्रीकृत दृष्टिकोण खतरे को मानक डोमेन-ब्लॉकिंग तकनीकों के प्रति असाधारण रूप से लचीला बनाता है।
मानवीय और तकनीकी परिणामों का आकलन
APTs (उन्नत लगातार खतरों) का विश्लेषण करने के अपने वर्षों के अनुभव में, मैंने पाया है कि हम अक्सर "क्या" पर बहुत अधिक समय बिताते हैं और "कैसे" पर पर्याप्त नहीं। यहाँ "क्या" 3,800 रिपॉजिटरी है, लेकिन "कैसे" मानवीय फ़ायरवॉल की व्यवस्थित विफलता है जो तृतीय-पक्ष एक्सटेंशन अखंडता पर अत्यधिक निर्भरता के साथ संयुक्त है। हम अपने IDE को निजी कार्यक्षेत्र के रूप में मानते हैं, लेकिन वास्तव में, वे कॉर्पोरेट अटैक सरफेस का हिस्सा हैं।
इस विशिष्ट खतरे के हमलावर का एक गहरा और अधिक अनियमित पक्ष भी है। Aikido Security के विश्लेषकों ने पाया कि यदि मैलवेयर इजरायली या ईरानी सिस्टम सेटिंग्स का पता लगाता है, तो इसमें ऑडियो चलाने और rm -rf /* निष्पादित करने की "6 में से 1 संभावना" होती है। यह एक बहुत ही पेशेवर क्रेडेंशियल-हार्वेस्टिंग ऑपरेशन में डिजिटल शून्यवाद का एक तत्व जोड़ता है। यह सुझाव देता है कि भले ही TeamPCP लाभ से प्रेरित है, वे केवल इसके लिए प्रणालीगत अराजकता पैदा करने से पीछे नहीं हटते।
सक्रिय बचाव: GitHub उल्लंघन से सबक
पैचिंग को अलग रखते हुए, यहाँ सबक यह है कि हमें जीरो ट्रस्ट सिद्धांतों को न केवल अपने नेटवर्क पर, बल्कि अपने विकास परिवेशों पर भी लागू करना चाहिए। हर उस मशीन या पाइपलाइन को पूरी तरह से समझौता किया हुआ माना जाना चाहिए जिसने durabletask के प्रभावित संस्करणों को स्थापित किया है। यह तथ्य कि पैकेज महीने में 400,000 से अधिक बार डाउनलोड किया जाता है, इसका मतलब है कि इस उल्लंघन की छाया उद्योग पर कुछ समय तक बनी रहेगी।
अगले बड़े उल्लंघन से पहले अपने डिजिटल पदचिह्न को सुरक्षित करने के लिए, मैं निम्नलिखित कार्रवाई योग्य कदमों की अनुशंसा करता हूँ:
- IDE एक्सटेंशन का ऑडिट करें: VS Code एक्सटेंशन के साथ उसी स्तर की जांच करें जैसा कि तृतीय-पक्ष लाइब्रेरी के साथ करते हैं। डेवलपर्स को असत्यापित प्लगइन्स स्थापित करने से रोकने के लिए आंतरिक मार्केटप्लेस या अनुमति-सूचियों का उपयोग करें।
- अल्पकालिक टोकन लागू करें: CI/CD पाइपलाइनों के लिए OIDC (OpenID Connect) का उपयोग करें और लंबे समय तक चलने वाले PATs (पर्सनल एक्सेस टोकन) से बचें जिन्हें आसानी से चोरी और पुन: उपयोग किया जा सकता है।
- SSM और K8s गतिविधि की निगरानी करें: असामान्य
SendCommandयाkubectl execपैटर्न के लिए अलर्ट सेट करें, विशेष रूप से वे जो अप्रत्याशित सर्विस अकाउंट्स से उत्पन्न होते हैं। - सीक्रेट मैनेजमेंट ऑडिट: एनवायरमेंट वेरिएबल्स या स्थानीय फाइलों में रहस्य संग्रहीत करने से बचें। एक केंद्रीकृत, सुरक्षित सीक्रेट मैनेजर का उपयोग करें जिसे एक्सेस के लिए हार्डवेयर-आधारित MFA की आवश्यकता हो।
- PyPI डिपेंडेंसी की समीक्षा करें: यदि आपका संगठन
durabletaskका उपयोग करता है, तो सत्यापित करें कि आप संस्करण 1.4.1 से 1.4.3 नहीं चला रहे हैं। अपनी डिपेंडेंसी को ज्ञात-अच्छे संस्करणों पर पिन करें और सार्वजनिक पैकेजों को प्रॉक्सी करने के लिए एक निजी रिपॉजिटरी मैनेजर का उपयोग करें।
नेटवर्क परिधि एक अप्रचलित किले की खाई है; नया युद्धक्षेत्र डेवलपर का लैपटॉप है। जब तक हम हर प्लगइन और पैकेज को एक संभावित ट्रोजन हॉर्स के रूप में नहीं मानते, हम देखते रहेंगे कि सबसे लचीले संगठन भी कोड की एक जहरीली रेखा के कारण अपने ताज के गहने खो देते हैं।
स्रोत:
- GitHub Incident Response and Security Blog (May 2026 update)
- MITRE ATT&CK Framework: T1195 (Supply Chain Compromise), T1552 (Unsecured Credentials)
- Wiz Research: Analysis of PyPI Package Poisoning
- StepSecurity: Investigation into FIRESCALE C2 Mechanisms
- NIST Special Publication 800-204: Security Strategies for Microservices-based Applications
अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है और पेशेवर साइबर सुरक्षा ऑडिट या इंसिडेंट रिस्पॉन्स सेवा का स्थान नहीं लेता है। लेखक और प्रकाशक यहाँ प्रदान की गई जानकारी के आधार पर की गई किसी भी कार्रवाई के लिए जिम्मेदार नहीं हैं।
आप दूसरी तरफ देखिए।
हमारा एंड-टू-एंड एन्क्रिप्टेड ईमेल और क्लाउड स्टोरेज समाधान सुरक्षित डेटा एक्सचेंज का सबसे शक्तिशाली माध्यम प्रदान करता है, जो आपके डेटा की सुरक्षा और गोपनीयता सुनिश्चित करता है।
/ एक नि: शुल्क खाता बनाएं
