ایک ہیکر گروپ اوپن سورس کوڈ کو غیر معمولی پیمانے پر زہر دے رہا ہے۔

ایک نام نہاد سافٹ ویئر سپلائی چین حملہ، جس میں ہیکرز اپنے بدنیتی پر مبنی کوڈ کو چھپانے کے لیے سافٹ ویئر کے ایک جائز ٹکڑے کو خراب کرتے ہیں، ایک بار نسبتاً نایاب واقعہ تھا لیکن ایک ایسا واقعہ جس نے سائبرسیکیوریٹی کی دنیا کو اس کے خوفناک خطرے سے پریشان کیا کہ کسی بھی معصوم ایپلیکیشن کو کسی شکار کے نیٹ ورک میں خطرناک قدموں میں تبدیل کر دیا جائے۔ اب سائبر جرائم پیشہ افراد کا ایک گروپ نے اس کبھی کبھار کے ڈراؤنے خواب کو تقریباً ہفتہ وار ایپی سوڈ میں تبدیل کر دیا، سینکڑوں اوپن سورس ٹولز کو خراب کر کے، منافع کے لیے متاثرین سے بھتہ وصول کر کے، اور دنیا کے سافٹ ویئر بنانے کے لیے استعمال ہونے والے ایک پورے ماحولیاتی نظام میں عدم اعتماد کی ایک نئی سطح کا بیج بویا۔

منگل کی رات، اوپن سورس کوڈ پلیٹ فارم گٹ ہب نے اعلان کیا کہ ہیکرز نے ایسے ہی ایک سافٹ ویئر سپلائی چین اٹیک میں اس کی خلاف ورزی کی ہے: ایک GitHub ڈویلپر نے VSCode کے لیے ایک “زہریلا” ایکسٹینشن انسٹال کیا تھا، جو کہ عام طور پر استعمال ہونے والے کوڈ ایڈیٹر کے لیے ایک پلگ ان ہے جو کہ خود GitHub کی طرح، Microsoft کی ملکیت ہے۔ نتیجے کے طور پر، خلاف ورزی کے پیچھے ہیکرز، ایک تیزی سے بدنام زمانہ گروپ جسے TeamPCP کہتے ہیں، دعویٰ کرتے ہیں کہ انہوں نے GitHub کے 4,000 کوڈ ریپوزٹریز تک رسائی حاصل کی ہے۔ GitHub کے بیان نے اس بات کی تصدیق کی کہ اسے کم از کم 3,800 سمجھوتہ شدہ ریپوزٹریز ملے ہیں جبکہ یہ نوٹ کرتے ہوئے کہ، اس کی اب تک کی تلاش کی بنیاد پر، ان سب میں GitHub کا اپنا کوڈ موجود تھا، نہ کہ صارفین کا۔

“ہم آج یہاں GitHub کے سورس کوڈ اور اندرونی تنظیموں کی فروخت کے لیے تشہیر کرنے کے لیے موجود ہیں،” TeamPCP نے سائبر کرائمینلز کے لیے ایک فورم اور مارکیٹ پلیس، BreachForums پر لکھا۔ “مرکزی پلیٹ فارم کے لیے سب کچھ موجود ہے اور میں دلچسپی رکھنے والے خریداروں کو مکمل صداقت کی تصدیق کے لیے نمونے بھیج کر بہت خوش ہوں۔”

گٹ ہب کی خلاف ورزی صرف تازہ ترین واقعہ ہے جو سافٹ ویئر سپلائی چین حملوں کا اب تک کا سب سے طویل دورانیہ بن گیا ہے، جس کا کوئی خاتمہ نہیں ہے۔ سائبرسیکیوریٹی فرم ساکٹ کے مطابق، جو سافٹ ویئر سپلائی چینز پر توجہ مرکوز کرتی ہے، ٹیم پی سی پی نے صرف پچھلے چند مہینوں میں سپلائی چین حملوں کی 20 “لہریں” کی ہیں جنہوں نے سافٹ ویئر کے 500 سے زیادہ الگ الگ ٹکڑوں میں میلویئر چھپا رکھا ہے، یا ٹیم پی سی پی نے کوڈ کے تمام مختلف ورژنز کی گنتی ایک ہزار سے زیادہ کی ہے۔