GitHub ने दुर्भावनापूर्ण VSCode extension के जरिए 3,800 repositories के breach की पुष्टि की

 (bleepingcomputer.com)
1 पॉइंट द्वारा GN⁺ 1 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • GitHub की internal repositories में से लगभग 3,800 एक कर्मचारी द्वारा दुर्भावनापूर्ण VS Code extension इंस्टॉल करने के बाद compromise हो गईं, और मौजूदा आकलन के अनुसार लीक की सीमा internal repositories तक ही सीमित है
  • GitHub ने trojanized extension को VS Code Marketplace से हटा दिया, संक्रमित endpoints को isolate किया, और तुरंत incident response शुरू किया
  • TeamPCP ने GitHub source code और लगभग 4,000 private code repositories तक पहुंच का दावा किया और चोरी किए गए डेटा के लिए कम से कम $50,000 की मांग की
  • VS Code extensions आधिकारिक स्टोर से इंस्टॉल किए जाने वाले plugins हैं, लेकिन पहले भी credentials चोरी, cryptominer, ransomware functionality, और cryptocurrency-stealing extensions पाए गए हैं
  • GitHub ने कहा कि प्रभावित repositories के बाहर customer data breach का कोई सबूत नहीं है, और platform का उपयोग 180 मिलियन से अधिक developers करते हैं

GitHub breach की पुष्टि और प्रतिक्रिया

  • GitHub ने पुष्टि की कि एक कर्मचारी द्वारा दुर्भावनापूर्ण VS Code extension इंस्टॉल करने के बाद उसकी लगभग 3,800 internal repositories compromise हो गईं
  • नाम सार्वजनिक न किए गए trojanized extension को VS Code Marketplace से हटा दिया गया, और compromise हुए device को सुरक्षित किया गया
  • GitHub ने X पोस्ट में कहा कि उसने “दूषित VS Code extension से जुड़े कर्मचारी डिवाइस compromise को detect और block किया,” और यह भी बताया कि malicious extension version हटाया गया, endpoints को isolate किया गया, और तुरंत incident response शुरू किया गया
  • मौजूदा आकलन के अनुसार गतिविधि की सीमा GitHub internal repositories के leak तक सीमित है, और हमलावर द्वारा दावा किए गए लगभग 3,800 repositories का पैमाना जांच के नतीजों से मोटे तौर पर मेल खाता है
  • GitHub ने एक दिन पहले BleepingComputer से कहा था कि वह internal repositories तक unauthorized access के दावे की जांच कर रहा है, और यह भी जोड़ा कि प्रभावित repositories के बाहर stored customer data के compromise होने का कोई सबूत नहीं है

TeamPCP के दावे और VS Code extension का जोखिम

  • TeamPCP hacker group ने Breached cybercrime forum पर GitHub source code और “लगभग 4,000 private code repositories” तक पहुंच का दावा किया, और चोरी किए गए डेटा के लिए कम से कम $50,000 की मांग की
  • TeamPCP ने कहा कि “यह ransom नहीं है और GitHub को extort करने में उसकी रुचि नहीं है,” और यह भी कहा कि वह एक खरीदार को बेचने के बाद अपने पास मौजूद डेटा हटा देगा
  • TeamPCP को developer code platforms को निशाना बनाने वाले बड़े supply chain attacks से जोड़ा गया है, जिनके targets में GitHub, PyPI, NPM, और Docker शामिल हैं
  • TeamPCP को हाल की “Mini Shai-Hulud” supply chain campaign से भी जोड़ा गया है, जिससे OpenAI के दो कर्मचारी भी प्रभावित हुए थे
  • VS Code extensions ऐसे plugins हैं जो Microsoft code editor में features जोड़ने या tools integrate करने के लिए आधिकारिक स्टोर VS Code Marketplace से इंस्टॉल किए जाते हैं
  • VS Code Marketplace में पहले भी developer credentials और sensitive data चोरी करने वाले malicious extensions बार-बार पाए गए हैं
  • पिछले साल 9 मिलियन installs वाले VSCode extensions को security risks के कारण हटाया गया, और वैध developer tools की तरह दिखने वाले 10 extensions ने XMRig cryptocurrency miner से users को infect किया
  • इसके बाद basic ransomware functionality वाले malicious extensions भी VS Code Marketplace पर अपलोड किए गए, और WhiteCobra नामक threat actor ने 24 cryptocurrency-stealing extensions रजिस्टर किए
  • इस साल जनवरी में AI-based coding assistants के रूप में प्रचारित 1.5 मिलियन installs वाले दो malicious extensions ने संक्रमित developer systems से चीन के servers को data exfiltrate किया
  • GitHub cloud platform का उपयोग फिलहाल 4 मिलियन से अधिक organizations, Fortune 100 की 90% कंपनियां, और 180 मिलियन से अधिक developers करते हैं, जो 420 मिलियन से अधिक code repositories में योगदान देते हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 1 시간 전
Hacker News की राय

  • अच्छा होता अगर VSCode बनाने वाली कंपनी, NPM रखने वाली कंपनी, और GitHub रखने वाली कंपनी एक जगह बैठकर इस समस्या का हल निकाल पाती

    • यह पूरी तरह दिखाता है कि Microsoft organizational chart वाला कॉमिक क्यों इतना सही है

      https://bonkersworld.net/organizational-charts

    • इस तरह के साफ़-साफ़ दिखने वाले जोखिम के बारे में चेतावनी की कमी बिल्कुल नहीं थी

      https://github.com/microsoft/vscode/issues/52116

    • Microsoft के पास NuGet भी है

      एक साल पहले उन्होंने क्या किया था, यह देखें तो NuGet से लगभग 700 packages को पहले ही हटा दिया गया था, लेकिन बाद में वह false positive निकला
      सही काम करना आसान नहीं है

    • मज़ाक नहीं, ऐसे ecosystem को शुरू से ही आसानी से compromise होने वाले कूड़ेदान की तरह डिज़ाइन किया गया है
      अगर contribution review के बिना पूरी तरह खुला ecosystem होगा, तो वह हमेशा ऐसी समस्याओं के लिए खुला रहेगा
      अगर यह पसंद नहीं है, तो editor extension मत इस्तेमाल करें, audited editor इस्तेमाल करें

      extension, node package, या PyPI package को ध्यान से review किए बिना इस्तेमाल करना technical debt जोड़ना है
      आप जल्दी ship करने के लिए risk अपने ऊपर ले रहे हैं, और बाद में या तो इसे नियंत्रित तरीके से चुकाना होगा या फिर interest लगने पर उसकी कीमत चुकानी होगी

  • VS Code extensions बहुत पहले से डरावने थे, और यह एक बेहद स्पष्ट attack vector था
    VSCode बार-बार popup दिखाता है कि किसी खास file format को पहचानने के लिए extension install करें, लेकिन वह extension कंपनी का है या किसी random developer का, यह आधा-आधा मामला लगता है
    लाखों installs वाले extensions में भी कुछ ऐसे हैं जो पहली नज़र में आधिकारिक company extension जैसे लगते हैं
    अब मैं सिर्फ़ आधिकारिक company-owned extensions install करने की कोशिश करता हूँ, लेकिन तब भी यक़ीन नहीं होता कि कहीं मैं धोखा तो नहीं खा रहा

    • यह समस्या VS Code से कहीं आगे जाती है
      हर extension और executable code में यही समस्या है
      Disney का वह मामला भी था जहाँ एक कर्मचारी ने malware वाला BeamNG mod install कर लिया और hack हो गया

      जो कंपनियाँ security बनाए रखना चाहती हैं, उन्हें software installation पर सख़्त पाबंदियाँ लगानी चाहिए
      जैसे कि केवल internal pre-approved repositories से npm packages और plugins install करने देना

    • Sublime इस्तेमाल करते रहने पर VSCode के दीवानों से मुझे अक्सर ताने मिले हैं
      “VSCode परफ़ेक्ट है” यह बात बिना सोचे-समझे मानने वालों को इसका शिकार होते देखना अच्छा लग रहा है

    • मैं भी VSCode extensions को लेकर इसी तरह लगभग paranoia स्तर तक सावधान हो गया हूँ
      मुझे वह समय याद है जब Brackets, JetBrains, Sublime Text, Bluefish जैसे IDE में development के लिए बस कुछ भरोसेमंद extensions ही काफ़ी होते थे
      अब ऐसा लगता है कि जो भी काम हो, किसी न किसी ने या किसी कंपनी ने उसके लिए अलग extension बना रखा है

      अब मैं minimum extensions के साथ ज़्यादा से ज़्यादा काम करने की कोशिश करता हूँ
      और साथ में अपना बाकी code भी GitHub से बाहर निकालने की कोशिश कर रहा हूँ

    • जिस vendor ने यह सोचा कि desktop का हर कुछ सेकंड में screenshot लिया जाए, उस पर OCR चलाया जाए, और नतीजे को बिना encrypt किए plain text में disk पर रखा जाए, उससे इस स्तर की software security की उम्मीद की जा सकती है

    • ऊपर से वे सारे extensions automatic updates भी चाहते हैं

  • इससे भी ज़्यादा हैरानी इस बात पर है कि hackers को यह करने लायक काफ़ी लंबा uptime मिल गया

    • जिन्हें मज़ाक समझ नहीं आया, उनके लिए: Microsoft द्वारा acquire किए जाने के बाद से GitHub को अपने आप को स्थिर रूप से चलाने में लगातार ज़्यादा दिक्कतें आती रही हैं

      हाल में downtime बढ़ा है, इसलिए मामला और ख़राब हुआ है और खबरों में भी आया है

  • पिछला संबंधित thread:

    GitHub is investigating unauthorized access to their internal repositories - https://news.ycombinator.com/item?id=48201316 - मई 2026, 321 टिप्पणियाँ

  • सोच रहा हूँ कि क्या nx console extension वही compromised extension था जिसने कल मुझे भी प्रभावित किया
    timing लगभग वही लग रही है
    https://github.com/nrwl/nx-console/security/advisories/GHSA-... देखें

  • उम्मीद है कि इस घटना के बाद Microsoft VS Code extensions के लिए एक स्पष्ट permission system जोड़ेगा, और dev container security भी बेहतर करेगा

    • बल्कि बेहतर होगा कि users, यानी यहाँ developers और maintainers, Microsoft पर अपनी निर्भरता कम करें और खासकर security को Microsoft के भरोसे छोड़ना बंद करें

      अब vscode से बाहर निकलना चाहिए

    • ज़्यादा उम्मीद नहीं है
      यह issue 2018 से खुला हुआ है: https://github.com/microsoft/vscode/issues/52116

  • VS Code, Electron के ऊपर बना है, और Electron में SUID sandbox helper था या है, इसलिए sandboxing बहुत पेचीदा हो जाती है
    क्योंकि sandbox के अंदर SUID binary को आसानी से चलाना संभव नहीं होता
    Linux पर sandboxing बेहद कठिन काम है

    • जब आप ऐसा message देखते हैं कि “sandbox को काम कराने के लिए Chrome को SUID Root देना होगा”, तो बहुत बुरा लगता है
      web browser को SUID Root देना पहले अज्ञान users को डराने वाला मज़ाक माना जाता था, और यह कल्पना की जा सकने वाली सबसे ख़राब security mistake थी
    • तो फिर IDE को Electron पर नहीं बनाना चाहिए
    • podman शायद rootless namespaces को काफ़ी अच्छी तरह संभाल लेता है
      थोड़ा performance overhead है, लेकिन दुनिया ख़त्म होने जैसी बात नहीं है

  • हो सकता है कि मैं कोई बहुत स्पष्ट बात मिस कर रहा हूँ, लेकिन 3,800 repositories सुनकर हैरानी हुई
    मुझे नहीं लगा था कि संख्या इतनी ज़्यादा होगी

    • जैसा दूसरों ने कहा, यह तो सिर्फ़ एक हिस्सा है
      मैं एक mid-sized tech company में हूँ, और सिर्फ़ एक GitHub organization में 7,500 से ज़्यादा repositories हैं
      organizations दो हैं, तो कुल संख्या आसानी से 10,000 पार कर जाती है
      हाँ, उनमें से ज़्यादातर पुरानी, छोड़ी हुई, sandbox, या personal tooling जैसी चीज़ें हैं
      GitHub जैसी कंपनी में 100,000 से ज़्यादा internal repositories हों तो भी मुझे हैरानी नहीं होगी

    • मैंने पहले एक ऐसी कंपनी में काम किया है जहाँ पाँच या छह GitHub organizations में मिलाकर कम से कम 5,000 repositories थीं, और Perforce में उससे भी ज़्यादा code था

      कुछ पुराने experiments भी थे, लेकिन कंपनी कई क्षेत्रों में फैली हुई थी, और कुछ departments को एक समस्या हल करने के लिए एक और service बना लेने में कोई हिचक नहीं थी

      मेरे department की पुरानी चीज़ों को हमने निश्चित रूप से archive किया था
      हमारे पास 8 repositories थीं, और तीन लोगों के लिए वही काफ़ी लगती थीं

    • Uber के पास एक समय 2,000 engineers पर 8,000 repositories थीं - https://highscalability.com/lessons-learned-from-scaling-ube...

    • मैंने पहले एक food retailer में काम किया है
      पहले दिन लगा था कि बाहर से देखने पर यह तो बस एक साधारण website है, इसमें कितना मुश्किल होगा
      लेकिन ordering website 300 से ज़्यादा repositories के साथ मिलकर बनी थी
      यह संख्या भी GitHub द्वारा इस breach में खोई गई चीज़ों से कम थी
      scale बढ़ने पर simplicity बनाए रखने में सच में बहुत मेहनत लगती है

    • GitHub में काम करते हुए मुझे जो बात हमेशा अच्छी लगी, उनमें से एक यह थी कि कंपनी के बड़े हिस्से सच में GitHub पर ही चलते हैं
      non-technical teams भी अक्सर अपने repositories रखते हैं ताकि docs/SOP/design जैसी चीज़ें व्यवस्थित कर सकें, ठीक वैसे जैसे पारंपरिक knowledge-work कंपनियाँ SharePoint इस्तेमाल करती हैं

  • open source बनाने के भी कई तरीके हैं

    • अगर कोई whistleblowing करना चाहता है या private information leak करना चाहता है, तो यह काफ़ी अच्छा तरीका हो सकता है
      अपने user account से खुल्लम-खुल्ला script चलाने के बजाय, scraping और किसी बेकार feature को जोड़कर एक plugin से anonymous upload किया जा सकता है
      जैसे ऐसा feature जो बताए कि कोई floating point number even है या नहीं
      बेशक, ऐसे numbers होते ही नहीं
      फिर उसे चलाकर victim होने का नाटक किया जा सकता है

  • “कल हमने contaminated VS Code extension से जुड़ा एक employee device compromise detect करके block किया। malicious extension version को हटा दिया गया, endpoint को isolate किया गया, और तुरंत incident response शुरू कर दिया गया।”

    extension हटा दिया, वाह क्या बात है
    क्या यह सब अपने कर्मचारी के infect होने के बाद ही करते हैं?
    और extension का नाम क्यों नहीं बता रहे?