- माइक्रोसॉफ्ट (MSFT:US) के ओपन सोर्स डेवलपमेंट प्लेटफॉर्म GitHub ने पुष्टि की है कि उसके आंतरिक कोड रिपॉजिटरी में अनधिकृत पहुंच हुई है। जांच से पता चला है कि एक कर्मचारी के टर्मिनल डिवाइस में घुसपैठ की गई थी, जिसमें Visual Studio Code (VS Code) एक्सटेंशन के साथ एक दुर्भावनापूर्ण प्रोग्राम शामिल था, जिससे आंतरिक डेटा का बाहरी प्रसार हुआ।
- साइबर क्राइम फोरम के खुलासे और सुरक्षा फर्म स्लोमिस्ट (SlowMist) के विश्लेषण से पता चलता है कि हैकर्स ने संभवतः आर्टिफिशियल इंटेलिजेंस कंपनी एंथ्रोपिक के मिथोस सुरक्षा AI मॉडल का उपयोग करके सटीक घुसपैठ की, जिससे लगभग 3800 से 4000 कोर आंतरिक रिपॉजिटरी चोरी हो गईं, जिनमें AI कोड असिस्टेंट GitHub Copilot का सोर्स कोड, CodeQL एल्गोरिदम, Actions रनटाइम और बिलिंग सिस्टम शामिल हैं।
- GitHub ने प्रभावित टर्मिनल को अलग कर दिया है और दुर्भावनापूर्ण एक्सटेंशन को हटा दिया है, और प्राथमिकता के आधार पर महत्वपूर्ण प्रमाणपत्रों का रोटेशन और लॉग ऑडिट शुरू कर दिया है। घटना की पूरी प्रतिक्रिया रिपोर्ट अभी भी विश्लेषण और संकलन में है, और प्लेटफॉर्म संभावित द्वितीयक हमले के जोखिम की बारीकी से निगरानी कर रहा है।
टर्मिनल सप्लाई चेन के कोर एसेट्स पर लक्षित घुसपैठ
इस सुरक्षा घटना का प्रकोप बिंदु डेवलपर्स द्वारा दैनिक उच्च आवृत्ति में उपयोग किए जाने वाले इंटीग्रेटेड डेवलपमेंट एनवायरनमेंट एक्सटेंशन मार्केट में स्थित है, जो लक्षित सप्लाई चेन हमलों की दक्षता को दर्शाता है। हैकर्स ने VS Code एक्सटेंशन प्रोग्राम को दूषित करके पारंपरिक नेटवर्क सीमा सुरक्षा को बायपास किया और सीधे कर्मचारी टर्मिनल पर दुर्भावनापूर्ण कोड निष्पादित किया। चूंकि इस टर्मिनल को आंतरिक कोर कोड रिपॉजिटरी तक पहुंच प्राप्त थी, इसलिए संवेदनशील एसेट्स का बाहरी प्रसार हुआ। ट्रेडिंग टर्मिनल और नेटवर्क सुरक्षा सेक्टर ने इस घटना पर तेजी से प्रतिक्रिया दी, और बाजार GitHub के व्यावसायिक अवरोधों पर कोर इंटेलेक्चुअल प्रॉपर्टी के लीक के प्रभाव का मूल्यांकन कर रहा है। यदि कोर एसेट्स को प्रतिस्पर्धियों या दुर्भावनापूर्ण समूहों द्वारा रिवर्स इंजीनियर किया जाता है, तो इसकी दीर्घकालिक तकनीकी प्रीमियम प्रणालीगत कटौती का सामना कर सकती है।
सुरक्षा AI उपकरणों का हैकर हमलों की तकनीकी उलटफेर
स्लोमिस्ट के मुख्य सूचना सुरक्षा अधिकारी के क्रॉस-विश्लेषण के अनुसार, इस हमले में हैकर्स द्वारा प्रदर्शित सटीकता अत्याधुनिक आर्टिफिशियल इंटेलिजेंस उपकरणों की सहायता पर अत्यधिक निर्भर थी। एंथ्रोपिक के मिथोस सुरक्षा AI मॉडल का मूल रूप से सुरक्षा पक्ष के लिए भेद्यता स्कैनिंग और कोड ऑडिट के लिए उपयोग किया जाता था, लेकिन हैकर्स के हाथों में यह उच्च छिपाव वाले हमले के पेलोड को स्वचालित रूप से उत्पन्न करने और आंतरिक नेटवर्क सुरक्षा कमजोरियों का पता लगाने के लिए एक असममित हथियार में बदल गया। इस तकनीकी उलटफेर से पता चलता है कि AI बड़े मॉडल साइबर अपराध की सीमा को कम करने के साथ-साथ प्रौद्योगिकी दिग्गजों के कोर एसेट्स की घुसपैठ की सफलता दर को बड़े पैमाने पर बढ़ा रहे हैं। इस सीमांत परिवर्तन ने प्राथमिक बाजार में नेटवर्क सुरक्षा रक्षा मॉडल की प्रभावशीलता पर संदेह उत्पन्न किया है।
प्रमाणपत्र रोटेशन तंत्र के तहत अल्पकालिक जोखिम हेजिंग
डेटा के बाहरी प्रसार की पुष्टि के पहले ही समय में, GitHub की प्रतिक्रिया तंत्र ने महत्वपूर्ण प्रमाणपत्रों के आपातकालीन रोटेशन पर ध्यान केंद्रित किया। इस ऑपरेशन का व्यापक उद्देश्य लीक हुए सोर्स कोड में शामिल हो सकने वाले हार्ड-कोडेड कीज, API टोकन और डेटाबेस एक्सेस प्रमाणपत्रों की समाप्ति को समय पर काटना है, ताकि हैकर्स को ज्ञात कोड रिपॉजिटरी का उपयोग करके उत्पादन वातावरण में द्वितीयक घुसपैठ से रोका जा सके। हालांकि, चूंकि लीक हुए रिपॉजिटरी में बिलिंग सिस्टम और Actions रनटाइम जैसी बुनियादी कोर व्यवसाय शामिल हैं, इसलिए प्रमाणपत्र रोटेशन की प्रभावशीलता को पूरी तरह से सत्यापित करने और संभावित बैकडोर प्रोग्राम को साफ करने के लिए कुछ कंप्यूटिंग चक्रों की आवश्यकता होती है। इस अवधि के दौरान, इसके क्लाउड सेवा संचालन की स्थिरता और अनुपालन संकेतक लगातार दबाव में रह सकते हैं।
प्रौद्योगिकी दिग्गजों की बुनियादी संरचना की तरलता जोखिम मानचित्रण
चूंकि चोरी किए गए कोड में Actions रनटाइम जैसी वैश्विक ओपन सोर्स समुदाय और एंटरप्राइज-स्तरीय निरंतर एकीकरण और निरंतर वितरण (CI/CD) के स्तंभ बुनियादी ढांचे शामिल हैं, इसलिए पूरे सॉफ़्टवेयर सप्लाई चेन का प्रणालीगत जोखिम तेजी से बढ़ रहा है। Copilot सोर्स कोड का लीक होना माइक्रोसॉफ्ट के AI सहायक प्रोग्रामिंग क्षेत्र में पूर्ण नेतृत्व की स्थिति के संभावित क्षरण के जोखिम का सामना करता है, जबकि बिलिंग सिस्टम का लीक होना व्यावसायिक कमजोरियों का पता लगाने या वित्तीय धोखाधड़ी के लिए उपयोग किया जा सकता है। जैसे-जैसे आगे की तकनीकी लॉग का खुलासा होता है, यदि उत्पादन वातावरण में वास्तविक रूप से छेड़छाड़ की पुष्टि होती है, तो यह माइक्रोसॉफ्ट के क्लाउड इकोसिस्टम की सुरक्षा पर एंटरप्राइज-स्तरीय ग्राहकों के पुनर्मूल्यांकन को प्रेरित कर सकता है, जिससे सार्वजनिक बाजार में मूल कंपनी के मूल्यांकन पर नकारात्मक प्रभाव पड़ सकता है।