GitHub د 3,800 داخلي ریپوزټريو (Repositories) د نقبې تایید وکړ

GitHub تایید کړ چې د یو کارمند لخوا د یو ناوړه Visual Studio Code extension نصبولو څخه وروسته شاوخوا 3,800 داخلي ریپوزټريو ته لاسرسی موندل شوی ^[1].

دا پېښه د سافټویر د عرضه ک chain (supply chain) کې یوې Kritikal vulnerability ته اشاره کوي، او دا ښيي چې څنګه یو واحد Compromised Entwickler tool کولی شي زرګونه شخصي اثاثې څرګندې کړي.

دا نقبه په 19 مای 2026 کې کشف شوه ^[2]. د شرکت د raportونو له مخې، غیر قانوني لاسرسی هغه وخت پیل شو کله چې د GitHub یو کارمند د VS Code (چې یو مشهور کوډ ایډیټر دی) لپاره یو زهرجن (poisoned) دریم-قومی extension نصب کړ ^[1], ^[3]. دا extension د برید کوونکو لپاره د ننوتلو د دروازې په توګه کار وکړ ترڅو د پلیټ فارم داخلي کوډ ریپوزټريو ته ورسېږي ^[1], ^[5].

د امنیت څیړونکو ویل چې دې برید د Entwickler چاپیریال هدف کړی ترڅو د معیاري امنیتي محدودیتونو څخه تېر شي. کله چې extension د کارمند په وسیله فعال شو، نو هغه اړین لاسرسی یې برابر کړ ترڅو د داخلي سیسټمونو په داخل کې ننوځي چیرې چې ریپوزټري ذخیره شوي دي ^[1], ^[4].

GitHub په 20 مای 2026 کې د دې نقبې په اړه raport ورکړ ^[3]. شرکت وویل چې اغیزې یوازې داخلي ریپوزټريو ته محدودې وې، چې پکې هغه proprietary کوډونه موجود دي چې د پلیټ فارم د جوړولو او ساتنې لپاره کارول کیږي ^[1], ^[4].

که څه هم شرکت د غلا شویو کوډونو د دقیق ماهیت په اړه معلومات نه دي خبر کړي، خو د اغیزمنو ریپوزټريو حجم — شاوخوا 3,800 ^[1] — د داخلي ذهني ملکیت (intellectual property) د لویې څرګندونې وړاندیز کوي. دا پېښه په integrated development environments (IDEs) کې د دریم-قومی plugins اړوند خطرونه په ګوته کوي، کوم چې ډیری وخت د Entwickler د فایل سیسټم او شبکې سره د تعامل لپاره لوړې اجازهګانې (permissions) لري ^[5].

GitHub اوس مهال د دې څیړنه کوي چې د ناوړه extension له لارې دقیقاً کومو معلوماتو ته لاسرسی شوی دی. شرکت وویل چې تر اوسه یې هغه عاملان نه دي پیژندلي چې د دې زهرجن extension مسؤلیت لري ^[1], ^[3].