GitHub د سهارې په ورځ، د 2026 می 20 څخه په وړاندې اعلان وکړ چې د TeamPCP په نوم یوې ګواښګرې ډلې زرګونه داخلي کوډ ریپوزټري (repositories) غلا کړې دي [1].
دا غلا په پراسسونو (workflows) کې یو مهم کمزوری نقطه ښيي، چېرته چې یو واحد له منځه وړل شوی وسیله کولی شي د یوې wholې سازماني شخصي زیربنا څرګنده کړي. څرنګه چې غلا شوې ډاټا داخلي سورس کوډ شاملوي، دا پېښه کولی شي بریدکوونکو ته د GitHub په خپلو سیسټمونو کې د نورو کمزوریو نقطو د پیژندلو لپاره یو پلان (roadmap) چمتو کړي.
د شرکت په وینا، دا پېښه هغه وخت پیل شوه کله چې یو کارکوونکي په ناپوهۍ کې په خپل zariaden کې یو زهرجن (poisoned) Visual Studio Code extension نصب کړ [2]. دې مالیکيوس وسیلې TeamPCP ته اجازه ورکړه چې zariaden له منځه یوسي او د شرکت د شخصي سورس کوډ ته غیر قانوني لاسرسی ترلاسه کړي [3].
راپورونه ښيي چې 3,800 داخلي ریپوزټري غلا شوې دي [1]. که څه هم ځینې سرچینې وړاندیز کوي چې دا شمېره تقریباً 4,000 وه [4]، خو په نورو راپورونو کې د 3,800 دقیق شمېره ذکر شوې ده [1].
TeamPCP اوس غلا شوی آرشیف د پلور لپاره وړاندیز کوي او د دې ډاټا لپاره 50,000 ډالره غواړي [1]. دا ډله د داخلي ریپوزټريو حساس طبیعت څخه ګټه پورته کوي ترڅو شرکت د پیسو ورکولو لپاره مجبور کړي.
GitHub اوس مهال د دې غلا د بشپړ وسعت په اړه څېڅېره کوي. د GitHub یو Spokesperson وویل: "که څه هم موږ ته اوس مهال د هغه د پیرودونکو معلوماتو په اړه هیڅ شواهد نشته چې د GitHub د داخلي ریپوزټريو څخه بهر ذخیره شوي وي (لکه زموږ د پیرودونکو شرکتونه)،" چې دا ښيي چې د بهرنیو کلینټانو ډاټا فیلاوس خوندي ده [5].
دا برید د هغو "سپلای چین" (supply chain) بریدونو د یوې वाढندې تمایلات څخه وروسته رامنځه شوی چې د پراسس کونکو (developers) هغو وسیلو هدف ګرځي چې هغوی یې هره ورځ کاروي. د یو مشهور extension marketplace په زهرجن کولو سره، برید کوونکي کولی شي د تقلیدي امنیتي لایوټونو څخه تېر شي او مستقیم د یو باوري کارکوونکي 워ک سټیشن (workstation) ته ورسېږي [3].
“د یو کارکوونکي په zariaden کې د یو مالیکيوس VS Code extension د نصبولو څخه وروسته تقریباً 3,800 داخلي ریپوزټري غلا شوې.”
دا پېښه په integrated development environments (IDEs) کې د 'extension-based' بریدونو خطر څرګندوي. د کلاوډ زیربنا پر ځای د پراسس کونکي د محلي محیط (local environment) په هدف کولو سره، TeamPCP د امنیتي لوړې کچې لایوټونه تېر کړل. د داخلي ریپوزټريو غلا په ځانګړې توګه خطرناکه ده ځکه چې دا ګواښګرانو ته اجازه ورکوي چې 'white-box' ټیسټینګ ترسره کړي—یعنې د zero-day کمزوریو نقطو موندلو لپاره د اصلي سورس کوډ تحلیل کړي—چې په راتلونکي کې کولی شي د GitHub پلیټ فارم پر وړاندې ډېر سختو بریدونو ته leading شي.
