मैं थक रहा हूँ...

हिन्दीالعربيةDeutschEnglishEspañolFrançaisBahasa Indonesia한국어PortuguêsРусский中文
MMaximilian Schwarzmüller
Computing/SoftwareManagementInternet Technology

Transcript

00:00:00तो आज बुधवार की सुबह है और मैंने जानबूझकर एक और विशाल सप्लाई चेन अटैक पर एपिसोड नहीं बनाया, एक नया विशाल सप्लाई चेन अटैक जो कल हुआ था जिसमें 600 से अधिक NPM पैकेज प्रभावित हुए, एक और 'शाय हुलू' अटैक, क्योंकि मैं हर हफ्ते इसके बारे में बात नहीं करना चाहता।
00:00:23लेकिन फिर कुछ घंटे पहले मैंने पढ़ा कि GitHub लगभग 4000 आंतरिक रिपॉजिटरी के उल्लंघन की जांच कर रहा है, जो एक पॉइज़न्ड VS कोड एक्सटेंशन के माध्यम से एक कर्मचारी के डिवाइस के साथ समझौता होने के कारण हुआ है।
00:00:43और मैं सचमुच बस थक गया हूँ। कोई ऐसा हफ्ता नहीं जाता जब इस तरह की गंभीर सुरक्षा घटनाएं न हों। पिछले हफ्ते हमारे पास Tanstack से संबंधित सप्लाई चेन अटैक की लहर थी, इस हफ्ते हमारे पास एक और थी और अब हमारे पास वह GitHub अटैक है और अब तक GitHub द्वारा जारी की गई जानकारी से यह केवल
00:01:07उद्धरणों में कहें तो उनकी रिपॉजिटरी को प्रभावित किया, लगभग 4000 आंतरिक रिपॉजिटरी का डेटा बाहर निकाला गया, ग्राहक रिपॉजिटरी नहीं, निजी ग्राहक रिपॉजिटरी भी नहीं, सिर्फ आंतरिक GitHub रिपॉजिटरी, लेकिन फिर भी शायद ही कोई हफ्ता ऐसा जाता है जब इस तरह की कोई नई घटना न हो।
00:01:27और मेरा मतलब है कि हमारे पास वे सभी सुरक्षा कमजोरियां भी हैं जो पाई जा रही हैं, जैसे फिर से GitHub से जुड़ी हुई, जो कुछ हफ्ते पहले पाई गई थी जिसने रिमोट कोड निष्पादन की अनुमति दी थी।
00:01:38यह दुर्व्यवहार किए जाने से पहले ही मिल गई थी और पैच कर दी गई थी लेकिन साइबर सुरक्षा स्पष्ट रूप से एक बड़ी समस्या बनती जा रही है और मैं जानता हूँ कि मैंने पहले इस बारे में बात की है और मैंने AI की भूमिका के बारे में बात की है जो निश्चित रूप से बहुत बड़ी है क्योंकि AI सुरक्षा कमजोरियों को खोजने में मदद करता है,
00:02:00यह दुर्भावनापूर्ण कोड लिखने में मदद करता है, यह सप्लाई चेन अटैक चलाने में मदद करता है और यह उन हमलों को हमलावरों के लिए इतना अधिक दिलचस्प बना देता है क्योंकि बहुत सारे नए लोग कोड डाल रहे हैं, पहले से कहीं अधिक कोड लिखा जा रहा है, एजेंट कोड लिख रहे हैं और पैकेज इंस्टॉल कर रहे हैं, यह अभी वहां 'वाइल्ड वेस्ट' की तरह है।
00:02:24यह वास्तव में एक कष्टप्रद समयरेखा है, मैं यह कहूँगा। मैं पूरी तरह से इस बात से सहमत हूँ कि आपको AI के मौजूद होने के साथ सामंजस्य बिठाना होगा, कि आपको इन उपकरणों के साथ काम करना सीखना होगा।
00:02:40और वही मैं कई महीनों से कर रहा हूँ और इसीलिए मैंने Claude Code या Codex पर पाठ्यक्रम बनाए हैं, लेकिन हाल ही में मेरे सहकर्मी मैनुअल ने Claude Code वर्क पर एक पाठ्यक्रम बनाया है क्योंकि हम उन चीजों को साझा करना चाहते हैं जो हमने इन उपकरणों के बारे में सीखी हैं, हम उनका उपयोग कैसे कर रहे हैं, आप शायद उनका उपयोग और अधिक प्रभावी होने के लिए कैसे कर सकते हैं और पारंपरिक कोड लेखन से AI-संवर्धित डेवलपर में वह बदलाव कैसे करें।
00:03:03लेकिन साथ ही आइए बहुत ईमानदार रहें, मैं कम सुरक्षा घटनाओं के साथ, और कम CEO के साथ जो मुझे हर समय बताते हैं कि सारा व्हाइट-कॉलर काम एक महीने में खत्म हो जाएगा, एक सरल समयरेखा रखना पसंद करूँगा, लेकिन हम यहां हैं।
00:03:21हम आज एक और सुरक्षा घटना के साथ यहां हैं और जैसा कि मैंने उल्लेख किया है यह केवल बुधवार की सुबह है, इसलिए हम देखेंगे कि इस हफ्ते के बाकी दिनों में और क्या सामने आता है।
00:03:30और इस समय हमारे पास जो एकमात्र रास्ता है, निश्चित रूप से उद्योग छोड़ने के अलावा जो कि कुछ डेवलपर्स ने किया है या विचार कर रहे हैं, एकमात्र चीज जो आप कर सकते हैं यदि आप उस उद्योग में रहने का निर्णय लेते हैं तो निश्चित रूप से इन AI उपकरणों को अपनाना और सीखना है, लेकिन जब सुरक्षा की बात आती है तो इसे वास्तव में गंभीरता से लेना है।
00:03:50और मैं जानता हूँ कि मैंने पहले भी पिछले एपिसोड में इसका उल्लेख किया है, लेकिन उदाहरण के लिए इसीलिए मैंने अपने दूसरे YouTube चैनल पर एक पूरा मुफ्त वीडियो बनाया है जिसे मैं नीचे फिर से लिंक करूँगा, जहाँ मैं आपको कुछ बुनियादी चरणों के बारे में बताता हूँ जो आप अधिक सुरक्षित विकास वातावरण रखने के लिए उठा सकते हैं।
00:04:08और इसमें pnpm जैसे पैकेज मैनेजर का उपयोग करना या bun का उपयोग एक ऐसे पैकेज मैनेजर के रूप में करना शामिल है जो डिफ़ॉल्ट रूप से अधिक सुरक्षित है। उदाहरण के लिए pnpm के नवीनतम संस्करण में न्यूनतम रिलीज आयु एक दिन है, जिसका अर्थ है कि यदि आप इसके माध्यम से पैकेज इंस्टॉल करते हैं, तो यह उन पैकेजों को नहीं खींचेगा जो एक दिन से कम पुराने हैं।
00:04:29इसलिए सप्लाई चेन अटैक से प्रभावित होने के खतरे को कम करता है क्योंकि उनमें से अधिकांश, लेकिन जरूरी नहीं कि सभी, आपको कोई गारंटी नहीं है, लेकिन उनमें से अधिकांश काफी जल्दी पकड़े जाते हैं इसलिए यह एक अच्छी बात है और जाहिर है आप इन सभी सेटिंग्स को बदल सकते हैं।
00:04:44और फिर इस तरह के मैनेजर लेकिन bun भी उदाहरण के लिए उन स्क्रिप्ट्स के निष्पादन को ब्लॉक करते हैं जो आपके द्वारा इंस्टॉल किए जा रहे पैकेजों से जुड़ी हो सकती हैं।
00:04:55और फिर निश्चित रूप से अन्य चरण भी हैं जैसे कि देव कंटेनर या वर्चुअल मशीन में चलाना, अपना विकास वहां करना और अपनी मशीन पर प्लेन टेक्स्ट में रहस्य न रखना।
00:05:05लेकिन निश्चित रूप से किसी को GitHub के लिए भी यह सोचना होगा कि एक कर्मचारी के डिवाइस का समझौता, जैसा कि लगता है, इस तरह के बड़े पैमाने पर डेटा एक्सफिल्ट्रेशन का नेतृत्व कैसे कर सकता है, इसलिए स्पष्ट रूप से बड़ी कंपनियां या कुछ ही कर्मचारियों से अधिक वाली कोई भी कंपनी को फिर से सोचना होगा कि उनका ब्लास्ट रेडियस कितना बड़ा है और एक अकेला कर्मचारी कितना नुकसान कर सकता है।
00:05:31और यह सब उस समय होता है जब सैद्धांतिक रूप से आप AI एजेंटों को सभी प्रकार के डेटा तक बड़े पैमाने पर पहुंच देना चाहेंगे ताकि उन्हें कुशल बनाया जा सके, ताकि एजेंटों के पास डेटा की विशाल मात्रा को क्रॉल करने और सभी प्रकार के सिस्टम के साथ बातचीत करने की क्षमता हो, इसलिए आपको अभी इन टकराती वास्तविकताओं का सामना करना पड़ रहा है।
00:05:53और सच्चाई यह है कि आप खतरे में हैं यदि आप अनुमतियों, पहुंच अधिकारों, डेटा सुरक्षा और उन सभी मजेदार चीजों के बारे में प्रतिबंधात्मक नहीं हैं जिनकी किसी ने कई वर्षों तक परवाह नहीं की, लेकिन अब यह गंभीर हो रहा है, AI इन हमलों को आसान और अधिक सार्थक बना रहा है।
00:06:12मजेदार समय, एक डेवलपर होने के लिए मजेदार समय, लेकिन हे यह शायद ही बेहतर हो सकता है, हम देखेंगे।

Key Takeaway

Development security is failing to keep pace with AI-driven attacks, making it mandatory for developers to adopt restrictive access controls and modern tooling like pnpm or dev containers to protect their environments.

Highlights

  • GitHub internal repositories totaling 4,000 were compromised following a successful attack on an employee device through a malicious VS Code extension.

  • NPM ecosystem security continues to struggle with recurring supply chain attacks, including a recent event affecting over 600 packages.

  • Security vulnerabilities are increasing as AI tools lower the barrier for attackers to write malicious code and perform automated supply chain attacks.

  • Using modern package managers like pnpm or bun can mitigate risks by enforcing policies such as a minimum release age of one day for dependencies.

  • The use of dev containers or virtual machines creates an isolated environment, reducing the impact of a compromised local development machine.

  • Organizations must urgently reduce the 'blast radius' by restricting data access and permissions, especially as they integrate more AI agents into their workflows.

Timeline

증가하는 사이버 보안 위협

  • 매주 NPM 패키지 공급망 공격이 반복적으로 발생하고 있다.
  • 악성 VS 코드 확장 프로그램으로 인해 GitHub 내부 저장소 4,000개가 유출되는 사고가 발생했다.
  • 고객 데이터가 아닌 내부 저장소 데이터가 유출되었으나, 공급망 공격의 빈도는 매우 높다.

반복되는 공급망 공격은 소프트웨어 개발 환경의 심각한 취약점을 드러내고 있다. GitHub 내부 저장소가 침해당한 사건은 직원의 개인 디바이스가 공격 통로가 될 수 있음을 보여준다. 이러한 보안 사고는 특정 기업에 국한되지 않고 업계 전반에서 지속적으로 발생하고 있다.

AI 시대의 새로운 보안 도전

  • AI는 취약점 탐색과 악성 코드 작성에 활용되어 공격을 가속화한다.
  • 개발자들이 더 많은 코드를 작성하고 패키지를 설치함에 따라 공격 표면이 넓어지고 있다.
  • 개발자는 AI 도구와 공존하는 법을 익히는 동시에 보안에 더 엄격한 기준을 세워야 한다.

AI는 개발 효율성을 높이지만, 동시에 공격자들에게 더 정교하고 빠른 공격 수단을 제공한다. 현재 소프트웨어 개발 환경은 무법지대와 같으며, 기업들은 AI 에이전트를 도입하며 발생할 수 있는 데이터 노출 위험을 심각하게 고려해야 하는 상황에 놓여 있다.

실질적인 보안 대응 방안

  • pnpm이나 bun 같은 보안 친화적 패키지 매니저를 사용하여 패키지 신뢰성을 높여야 한다.
  • pnpm의 1일 최소 릴리스 기간 제한은 최신 공급망 공격을 방어하는 효과적인 수단이다.
  • 개발 환경을 격리하기 위해 데브 컨테이너나 가상 머신을 활용하는 것이 필수적이다.
  • 기업은 단일 직원의 디바이스 침해가 전체 시스템 파괴로 이어지지 않도록 데이터 접근 권한을 엄격히 제한해야 한다.

개발자가 스스로 할 수 있는 최소한의 보안은 도구 설정 최적화다. 패키지 매니저의 기본 설정을 강화하고, 로컬 환경에서 비밀번호나 API 키를 일반 텍스트로 저장하지 않는 습관이 필요하다. 조직 차원에서는 AI 에이전트의 데이터 접근권을 최소화하여 사고 발생 시 피해 범위를 최소화해야 한다.

Community Posts

No posts yet. Be the first to write about this video!

Write about this video