GitHub ဖောက်ဖျက်မှုသည် ဟက်ကာများသည် သီးသန့်သိမ်းဆည်းထားသော ထောင်ပေါင်းများစွာကို ဝင်ရောက်ကာ ဒေါ်လာ 50K ရောင်းချရန် ကြိုးပမ်းခြင်းကြောင့် အချက်ပေးသံများ ထွက်ပေါ်လာသည်။

တစ် ဆိုက်ဘာလုံခြုံရေးချိုးဖောက်မှုအသစ် ဟက်ကာစုပေါင်း TeamPCP က GitHub အတွင်းရှိ အတွင်းပိုင်းပုဂ္ဂလိက သိုလှောင်ရုံ 4,000 ခန့်မှ အရင်းအမြစ်ကုဒ်ကို ထုတ်ယူသွားသည်ဟု ဆိုသောကြောင့် ယနေ့ညတွင် developer အသိုင်းအဝိုင်းကို တုန်လှုပ်စေခဲ့သည်။

အဖွဲ့သည် $50,000 စျေးနှုန်းဖြင့် ဤဒေတာအစုံကို အမှောင်ဝဘ်ဖိုရမ်များတွင် တက်ကြွစွာကြော်ငြာနေပြီး ဖြစ်နိုင်ခြေရှိသောဖောက်သည်များအား ဆွဲဆောင်ရန် ဖောက်ဖျက်မှုအထောက်အထားအဖြစ် နမူနာဖိုင်များပါ၀င်သည်။

သို့သော်လည်း ဟက်ကာများသည် ဤဒေတာဘေ့စ်ကို ဝယ်ယူသူထံ ရောင်းချခြင်းမပြုဘဲ ၎င်းတို့သည် GitHub နှင့် ၎င်း၏ ကမ္ဘာတစ်ဝှမ်းရှိ သုံးစွဲသူများအပေါ် ဖိအားများပေးကာ ဒေတာအတွဲတစ်ခုလုံးကို အခမဲ့ထုတ်ပေးမည်ဖြစ်ကြောင်း ဆက်လက်ပြောဆိုခဲ့သည်။ ဖောက်ဖျက်မှု၏အတိုင်းအတာအပြင် ၎င်းတွင်ပါ၀င်ပတ်သက်နေသော အတွင်းပိုင်းသိုလှောင်မှုများအကြောင်းအသေးစိတ်အချက်များသည် ဆော့ဖ်ဝဲရေးသားသူများ၊ လုပ်ငန်းများနှင့် လုံခြုံရေးလေ့လာသုံးသပ်သူများကြားတွင် ကျယ်ပြန့်သောစိုးရိမ်ပူပန်မှုအရင်းအမြစ်တစ်ခုဖြစ်သည်။

အစောပိုင်းပေါက်ကြားမှုများ၏ အချက်အလက်များသည် ဒေတာတွင် အရေးကြီးသော အတွင်းပိုင်းကိရိယာများ၊ သီးသန့်စနစ်များနှင့် GitHub တွင် တွေ့ရှိရသည့် အရေးကြီးသော အခြေခံအဆောက်အဦများ ပါဝင်နိုင်သည်ဟု အရိပ်အမြွက်ဖော်ပြသည်။ အသေးစိတ်အချက်အလက်တွေ ထွက်ပေါ်လာတာကြောင့် အခြေအနေက တိုးတက်နေဆဲပါ။

🚨 MistEye TI သတိပေးချက် 🚨

မကြာသေးမီက ထောက်လှမ်းရေးအပေါ် အခြေခံ၍ AntV နှင့် Echarts-for-react နှင့် တာရှည်ခံလုပ်ငန်းဆောင်တာ Python SDK အပါအဝင် ကြိမ်နှုန်းမြင့် npm ပက်ကေ့ဂျ်များကို Mini Shai-Hulud ထောက်ပံ့ရေးကွင်းဆက်တိုက်ခိုက်မှုများက အပေးအယူလုပ်ခဲ့သည်။ မှတ်သားဖွယ်-

1. မေလ 19 ရက်၊ 2026- npm အကောင့် atool… pic.twitter.com/MKytsmFiy7

— SlowMist (@SlowMist_Team) မေ ၂၀၊ ၂၀၂၆

GitHub သည် ဟက်ကာဖြစ်ကြောင်း အတည်ပြုပြီး ယခု စုံစမ်းစစ်ဆေးနေသည်။

အဆိုပါအဖြစ်အပျက်ကို GitHub ကိုယ်တိုင်က အစီရင်ခံတင်ပြထားပြီး၊ ၎င်းသည် “ အတွင်းပိုင်းသိုလှောင်မှုများကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ကြည့်ရှုခြင်း” ဟု ရည်ညွှန်းသည့် စုံစမ်းစစ်ဆေးမှုတစ်ခု လုပ်ဆောင်နေသည်ဟု အတည်ပြုထားသည်။ ချိုးဖောက်မှုအား မိနစ်ပိုင်းအတွင်း ရှာဖွေတွေ့ရှိခဲ့ပြီး တားဆီးခြင်းအစီအမံများကို ကျင့်သုံးနေပြီ ဖြစ်ကြောင်း ကုမ္ပဏီက ပြောကြားခဲ့သည်။

အသေးစိတ်မွမ်းမံမှုတစ်ခုတွင်၊ GitHub သည် Visual Studio Code extensions များ၏ အပေးအယူခံရသောဗားရှင်းများကို ထည့်သွင်းထားသည့် ဝန်ထမ်းစက်ပစ္စည်းတစ်ခုအား တိုက်ခိုက်ခဲ့ကြောင်း အပြစ်တင်ခဲ့သည်။ တိုက်ခိုက်မှု vector သည် အပေးအယူလုပ်ထားသော ပလပ်အင်ဖြစ်ပြီး၊ ကျူးကျော်သူများသည် ထိုသို့သော သိုလှောင်ရာနေရာများသို့ မဝင်ရောက်မီ အတွင်းပိုင်းကွန်ရက်များကို ထိုးဖောက်ဝင်ရောက်ခွင့်ပေးသည်။

စုံစမ်းစစ်ဆေးမှုများ ဆက်လက်လုပ်ဆောင်နေချိန်တွင်၊ ၎င်းသည် ဖောက်ဖျက်မှုအား အတွင်းပိုင်းသိုလှောင်ရုံများတွင် ချုပ်နှောင်ထားပုံရပြီး သီးသန့်ဝယ်ယူသူစာရင်းအပေါ် သက်ရောက်မှုတစ်စုံတစ်ရာမရှိသေးကြောင်း GitHub မှ မှတ်ချက်ပေးသည်။ မည်သို့ပင်ဆိုစေကာမူ စက်ပစ္စည်းကို သီးခြားခွဲထုတ်ထားပြီး အန္တရာယ်ရှိသော တိုးချဲ့မှုအား ဖယ်ရှားလိုက်ကာ ပြီးပြည့်စုံသော ဖြစ်ရပ်ကို တုံ့ပြန်လုပ်ဆောင်မှု လုပ်ဆောင်သွားမည်ဖြစ်သည်။

1/ ကျွန်ုပ်တို့သည် GitHub ၏ အတွင်းပိုင်းသိုလှောင်ရာများသို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ကြည့်ရှုခြင်းနှင့်ပတ်သက်၍ ကျွန်ုပ်တို့၏ စုံစမ်းစစ်ဆေးမှုဆိုင်ရာ နောက်ထပ်အသေးစိတ်အချက်အလက်များကို မျှဝေထားပါသည်။

အဆိပ်ခတ်ထားသော VS Code တိုးချဲ့မှုပါ၀င်သည့် ဝန်ထမ်းစက်ပစ္စည်း၏ အပေးအယူတစ်ခုကို ယမန်နေ့က ကျွန်ုပ်တို့ တွေ့ရှိခဲ့ပြီး ပါဝင်ပါသည်။ ကျွန်ုပ်တို့သည် အန္တရာယ်ရှိသော တိုးချဲ့ဗားရှင်းကို ဖယ်ရှားလိုက်သည်…

— GitHub (@github) မေ ၂၀၊ ၂၀၂၆

ဝင်ခွင့်အမှတ်- အဆိပ်သင့် VS ကုဒ် တိုးချဲ့မှု

အပေးအယူလုပ်ထားသော VS Code တိုးချဲ့မှုသည် ဖွံ့ဖြိုးတိုးတက်မှုပတ်ဝန်းကျင်တွင် ယနေ့ခေတ်အသုံးအများဆုံးတိုက်ခိုက်မှုအမျိုးအစားများထဲမှတစ်ခုဖြစ်ပြီး ဤချိုးဖောက်မှု၏ဗဟိုချက်ဖြစ်သည်။ တိုးချဲ့မှုများကို ဆော့ဖ်ဝဲရေးသားသူ၏ ကုန်ထုတ်စွမ်းအားမြှင့်တင်ရေး ရည်ရွယ်ချက်များအတွက် ထည့်သွင်းလေ့ရှိသော်လည်း ၎င်းတို့တွင် အန္တရာယ်ရှိသောကုဒ်များ ပါဝင်ပါက အန္တရာယ်ကြီးမားနိုင်သည်။

ဤတိုက်ခိုက်သူများကို ဝန်ထမ်း၏အလုပ်ရုံသို့ ဝင်ရောက်ခွင့်ပေးသည့် တိုးချဲ့မှုကို နောက်ခံတံခါးအဖြစ် အသုံးပြုသည်။ ထိုနေရာမှ ၎င်းတို့သည် GitHub ၏အတွင်းပိုင်းကွန်ရက်မှတစ်ဆင့် ဘေးတိုက်ဖြတ်သန်းကာ ကျုးကျော်မှုမတွေ့ရှိမီ သိုလှောင်ရာနေရာအမျိုးမျိုးမှ ဒေတာများကို လပေါင်းများစွာကြာအောင် ရယူခဲ့ကြသည်။

၎င်းသည် ဆော့ဖ်ဝဲလ်ထောက်ပံ့ရေးကွင်းဆက်များတွင် အရေးအကြီးဆုံး ကြီးထွားလာနေသော အားနည်းချက်များထဲမှ တစ်ခုဖြစ်သည်။ ယုံကြည်ရသော ကိရိယာများက ၎င်းတို့ကို ဆိုးသွမ်းသော သရုပ်ဆောင်များက ပြန်ပေးဆွဲပါက တိုက်ခိုက်ရေး vector အဖြစ် ပြောင်းလဲနိုင်သည်။ ပလပ်အင်များနှင့် ပေါင်းစည်းမှုများသည် လုံခြုံရေးစစ်ဆေးမှုများစွာမလိုအပ်ဘဲ အဖွဲ့အစည်းများနှင့် ဆော့ဖ်ဝဲအင်ဂျင်နီယာများအတွက် အနှစ်သက်ဆုံးသွား-ပို့သည့် ယန္တရားဖြစ်သည်။

ကျယ်ပြန့်သော လုံခြုံရေးအစီအမံများဖြင့် နေရာယူထားသော ကျယ်ပြန့်စွာယုံကြည်ရသော ပလပ်ဖောင်းများပင်လျှင် GitHub၊ တစ်ခုအတွက် သည် ဝင်ရောက်မှုနည်းသော ထင်ရှားသောနေရာများမှတစ်ဆင့် တိုက်ခိုက်မှုများကို ခံနိုင်ရည်ရှိနိုင်ကြောင်း သတိပေးချက်ဖြစ်သည်။

ထောင်ပေါင်းများစွာသော Internal Repositories များကို ဖော်ထုတ်နိုင်မည်ဖြစ်သည်။

တိုက်ခိုက်သူတောင်းဆိုထားသည့် သိမ်းဆည်းထားသော အရေအတွက် 3,800 ခန့်သည် ဟက်ကာအကောင့်များနှင့်ပတ်သက်၍ ကုမ္ပဏီတွင်းမှ GitHub စုံစမ်းစစ်ဆေးမှုဖြင့် အကြမ်းဖျင်းအားဖြင့် ဆက်စပ်နေသော်လည်း အဆိုပါနံပါတ်ကို လူသိရှင်ကြား အတည်ပြုခြင်းမရှိပေ။ အတွင်းဒေတာ အများအပြားကို ဖောက်ဖျက်ပြီး ထုတ်ယူသွားနိုင်ကြောင်း ၎င်းက အသိအမှတ်ပြုပါသည်။

မေးခွန်းထုတ်ထားသော သိုလှောင်ပစ္စည်းများသည် အတွင်းပိုင်းစနစ်များနှင့် ဖွံ့ဖြိုးတိုးတက်ရေးကိရိယာများအတွက် အရင်းအမြစ်ကုဒ်များကဲ့သို့သော အဓိကပိုင်ဆိုင်မှုများ၏ အိမ်တွင်းထည့်သွင်းမှုများနှင့် လျှို့ဝှက်ထားရန်လိုအပ်သည့် GitHub ၏ဝန်ဆောင်မှုများကို ပံ့ပိုးပေးသည့် မူဘောင်များအဖြစ် ယုံကြည်ကြသည်။ တောင်းဆိုချက်များမှန်ကန်ကြောင်း သက်သေပြပါက၊ ထိတွေ့မှုသည် GitHub နှင့် ၎င်း၏အခြေခံအဆောက်အအုံအပေါ် မှီခိုသည့် ကျယ်ပြန့်သော developer ဂေဟစနစ်အတွက် အကြပ်ရိုက်စေနိုင်သည်။

တိုက်ခိုက်သူများသည် အတွင်းပိုင်းပြန်လည်ထူထောင်ရေးသို့ တစ်စိတ်တစ်ပိုင်းဝင်ရောက်ခွင့်ရသည်နှင့်တစ်ပြိုင်နက်၊ ၎င်းသည် ညစ်ညမ်းသောအသုံးပြုသူများအား စနစ်ပုံစံရေးဆွဲပုံနှင့်ပတ်သက်၍ နားလည်မှုတိုးမြင့်လာစေကာ နောက်ပိုင်းတွင် ပိုမိုအကန့်အသတ်နှင့် ထိရောက်သော exploit များဖန်တီးရာတွင်ပင် အထောက်အကူဖြစ်စေနိုင်သည်ဟု လုံခြုံရေးကျွမ်းကျင်သူများက သတိပေးသည်။

🚨 ဟက်ကာအဖွဲ့ TeamPCP သည် GitHub မှ အတွင်းပိုင်းပုဂ္ဂလိကသိုလှောင်ရာနေရာပေါင်း 4,000 ခန့်၏ အရင်းအမြစ်ကုဒ်ကို ရယူထားသည်ဟု အခိုင်အမာပြောဆိုထားပြီး ယခုအခါ အဆိုပါဒေတာကို မြေအောက်ဖိုရမ်များတွင် ရောင်းချရန်အတွက် $50K ဖြင့် ရောင်းချပေးနေပြီး နမူနာအတည်ပြုချက်ရရှိနိုင်ပါသည်။ ဝယ်သူမရှိပါက ဒေတာအစုံသည် နောက်ပိုင်းတွင် ဖြစ်လာနိုင်သည်… https://t.co/D4dNMnHXrw

— GoPlus လုံခြုံရေး 🚦 (@GoPlusSecurity) မေ ၂၀၊ ၂၀၂၆

လုံခြုံရေးကျွမ်းကျင်သူများက AI-အကူအညီပေးသောချိုးဖောက်မှုနည်းပညာများအကြောင်း သတိပေးသည်။

အဖြစ်အပျက်၏အခက်အခဲကို ပေါင်းစပ်ကာ 23pds၊ SlowMist မှ သတင်းအချက်အလက်လုံခြုံရေးအရာရှိချုပ်က တိုက်ခိုက်သူများသည် ဖောက်ဖျက်မှုအားစီစဉ်ရန် အဆင့်မြင့် AI ကိရိယာများကို အသုံးပြုခဲ့ကြောင်း အကြံပြုခဲ့သည်။ အထူးသဖြင့်၊ Anthropic ၏ Mythos လုံခြုံရေး AI ကို တွင်းနက်များကို ရှာဖွေရန်နှင့် ဤတိုက်ခိုက်မှုကို ပြုပြင်ရန် အရိပ်အယောင်များ ရှိပါသည်။

အခွင့်အရေးပေးသည့် တိုက်ခိုက်မှုအစား၊ ချိုးဖောက်မှု၏ ဤရှုထောင့်က ၎င်းကို ဆက်စပ်မှုရှိသော ထောက်လှမ်းမှုနှင့် AI-optimized ကွပ်မျက်မှုတို့ဖြင့် တွက်ချက်ထားသော လုပ်ဆောင်ချက်ကို ပြန်ဆိုစေသည်။ အတည်ပြုပါက၊ ၎င်းသည် ဆိုက်ဘာတိုက်ခိုက်မှုများ သိသိသာသာ တိုးတက်လာမည်ဖြစ်သည်။

Copilot ရင်းမြစ်ကုဒ်၊ CodeQL algorithms နှင့် GitHub Actions runtime၊ ခေတ်မီဆော့ဖ်ဝဲလ်ဖွံ့ဖြိုးတိုးတက်မှုအတွက် core building blocks များကဲ့သို့သော ပိုင်ဆိုင်မှုများကို လုံခြုံအောင်ဆက်လက်ထိန်းသိမ်းထားရန် မျှော်လင့်ချက်များ ပေါင်းစပ်ထားခြင်းကြောင့် အဆိုပါစိုးရိမ်မှုများသည် ပေါင်းစပ်လာပါသည်။ ယင်းတို့သည် ၎င်းတို့၏ အပေးအယူ ရလဒ်အဖြစ် စနစ်ကျသော ခြိမ်းခြောက်မှုများကို ဖြစ်ပေါ်စေသည်။

🧐
ငါတို့@SlowMist_Team ဟက်ကာများသည် Anthropic ၏ Mythos လုံခြုံရေး AI ကို အသုံးပြု၍ GitHub ၏ ကာကွယ်ရေးများကို တိကျစွာချိုးဖျက်ပြီး core အတွင်းပိုင်းဂိုဒေါင်ပေါင်း 4,000 ခန့်ကို ခိုးယူသွားနိုင်သည့် ဆိုက်ဘာရာဇ၀တ်မှုဖိုရမ်မှ ပေါ်ထွက်ချက်များကို ပိုင်းခြားစိတ်ဖြာထားသည်-
၎င်းတွင် Copilot ၏ အရင်းအမြစ်ကုဒ်၊ CodeQL ၏ အယ်လဂိုရီသမ်၊ လုပ်ဆောင်ချက်များ လုပ်ဆောင်နေချိန်၊ ငွေပေးချေမှုစနစ်တစ်ခုလုံးနှင့် အချက်အလက်များစွာ ပါဝင်ပါသည်။ … https://t.co/dUtVVx0CN6 pic.twitter.com/gVDyEx2pHi

— 23pds (山哥) (@im23pds) မေ ၂၀၊ ၂၀၂၆

GitHub သည် လျှို့ဝှက်ချက်များကို လှည့်ပတ်ကာ သုံးစွဲသူများအား သတိရှိရှိနေထိုင်ရန် တိုက်တွန်းထားသည်။

GitHub သည် ဖောက်ဖျက်မှုတွင် ဆက်စပ်အန္တရာယ်များကို ထိန်းထားရန် လျင်မြန်စွာ လုပ်ဆောင်ခဲ့သည်။ နောက်ထပ်အသုံးပြုမှုကို တားဆီးရန် ဖြစ်နိုင်ခြေအမြင့်ဆုံးသော သက်ရောက်မှုရှိသူများကို အာရုံစိုက်ကာ ၎င်း၏ အရေးကြီးသော လျှို့ဝှက်ချက်များကို လှည့်ပတ်ထားကြောင်း ကုမ္ပဏီက အတည်ပြုသည်။ ထပ်လောင်းကာကွယ်မှုများသည် အမြဲတမ်းဖွင့်ထားသည့် မှတ်တမ်းခွဲခြမ်းစိတ်ဖြာမှုမှ လုံခြုံရေးဖာထေးမှုများကို မထိမခိုက်ရသေးကြောင်းနှင့် မမှန်မကန်လုပ်ဆောင်မှုမရှိကြောင်း အတည်ပြုခြင်းအထိ ပါဝင်သည်။

GitHub သည် ဤအကာအကွယ်အစီအမံများရှိနေသော်လည်း သုံးစွဲသူများ၊ အထူးသဖြင့် ပုဂ္ဂလိကဘဏ်စာရင်းရှိသူများသည် သတိဖြင့်နေထိုင်သင့်သည်ဟု GitHub မှ မှတ်ချက်ပြုခဲ့သည်။ ကြိုတင်ကာကွယ်မှုအနေဖြင့်၊ developer များအား လုံခြုံရေးစစ်ဆေးမှုများ ချက်ချင်းလုပ်ဆောင်ရန်၊ ဝင်ရောက်ခွင့်မှတ်တမ်းများကို စစ်ဆေးပြီး အရေးကြီးသောအထောက်အထားများကို ပြောင်းလဲရန် အကြံပြုထားသည်။

ပိုမိုအဆင့်မြင့်သော ခြိမ်းခြောက်မှုများခေတ်တွင် ကြိုတင်ကာကွယ်နိုင်သော လုံခြုံရေး အကောင်းဆုံးအလေ့အကျင့်များ လိုအပ်ကြောင်း မီးမောင်းထိုးပြသည်။ ချိုးဖောက်မှုများကို အတွင်းပိုင်းနယ်နိမိတ်များဖြင့် ကန့်သတ်ထားသော်လည်း ၎င်းတို့၏သက်ရောက်မှုများသည် မူလချိုးဖောက်မှုထက် ကျော်လွန်သွားနိုင်သည်။

ဤစုံစမ်းစစ်ဆေးမှုကို ဆက်လက်လုပ်ဆောင်ခြင်းဖြင့်၊ GitHub သည် အလျဉ်းသင့်သလို ထပ်လောင်းလုပ်ဆောင်ရန် ကတိပြုထားပြီး ၎င်းကိုရနိုင်သည်နှင့် ထပ်မံ၍ အချက်အလက်များဖြင့် အပ်ဒိတ်လုပ်ထားသည်။ လက်ရှိအချိန်မှာတော့ တားဆီးကာကွယ်ရေး၊ ပွင့်လင်းမြင်သာမှု နဲ့ ကာကွယ်ရေးကို မြှင့်တင်ဖို့ အာရုံစိုက်ထားပါတယ်။

ထုတ်ဖော်ချက်- ၎င်းသည် ကုန်သွယ်မှု သို့မဟုတ် ရင်းနှီးမြှုပ်နှံမှု အကြံပြုချက်မဟုတ်ပါ။ မည်သည့် cryptocurrency မဝယ်မီ သို့မဟုတ် မည်သည့်ဝန်ဆောင်မှုများတွင်မဆို ရင်းနှီးမြှုပ်နှံခြင်းမပြုမီ သင်၏သုတေသနကို အမြဲလုပ်ပါ။

Twitter တွင် ကျွန်ုပ်တို့ကို လိုက်နာပါ။ @nulltxnews နောက်ဆုံးပေါ် Crypto၊ NFT၊ AI၊ Cybersecurity၊ Distributed Computing၊ နှင့် ဖောက်ပြန်သောသတင်း!