Changpeng Zhao ने Crypto डेव्स को GitHub हैक के बाद API keys रोटेट करने की चेतावनी दी

के द्वारा लिखा गया

Phil Haunhorst

के द्वारा edit किया गया

Harsh Notariya

प्रकाशित:20 मई 2026, 05:08 UTC

GitHub ने बताया, हैक हुई VS Code extension से करीब 3,800 इंटरनल रेपो हुए एक्सपोज
Binance के फाउंडर CZ ने डेवेलपर्स को कोड में सेव किसी भी API keys को रोटेट करने की सलाह दी
GitHub ने कहा अभी तक कस्टमर प्रोजेक्ट्स और अकाउंट्स पर कोई असर नहीं

GitHub ने कहा है कि एक हैकर ने उसके लगभग 3,800 इंटरनल रिपॉजिटरीज़ से कोड चोरी कर लिया, जब उसने एक कर्मचारी के कंप्यूटर पर एक खतरनाक प्लगइन इंस्टॉल कर दिया। इस घटना के बाद क्रिप्टो इंडस्ट्री में कोड में सेव किए गए API keys की सुरक्षा को लेकर चिंता बढ़ गई है।

Binance के फाउंडर Changpeng Zhao ने डिवेलपर्स को सलाह दी है कि हर एक प्रोजेक्ट में छिपे हुए keys को चेक करें और इन्हें तुरंत बदलें। उनका कहना है कि अब प्राइवेट रिपॉजिटरीज़ को भी एक्सपोज़्ड मानकर चलना चाहिए।

कंपनी ने क्या खुलासा किया

GitHub के मुताबिक, यह ब्रीच तब शुरू हुई, जब एक कर्मचारी ने VS Code एक्सटेंशन का मालिशियस वर्शन इंस्टॉल कर लिया। यह एक छोटा सा ऐड-ऑन है, जिसका इस्तेमाल दुनियाभर में लाखों डिवेलपर्स करते हैं।

कंपनी ने प्रभावित कंप्यूटर को तुरंत आइसोलेट किया, खराब एक्सटेंशन हटाया और रातों-रात जरूरी पासवर्ड बदलने शुरू कर दिए। सबसे अधिक रिस्क वाली credentials को पहले रोटेट किया गया।

अब तक की जांच से पता चलता है कि हैकर ने सिर्फ GitHub की इंटरनल रिपॉजिटरीज़ से ही कोड निकाला है। कस्टमर के प्रोजेक्ट्स, ऑर्गेनाइजेशन और अकाउंट्स पर फिलहाल कोई असर नहीं दिखा है।

GitHub का कहना है कि हैकर के करीब 3,800 रिपॉजिटरीज़ चोरी होने के दावे से उनकी इंटरनल टीम की जांच भी मेल खाती है। पूरी जांच के बाद डिटेल्ड रिपोर्ट जारी की जाएगी।

क्रिप्टो डिवेलपर्स क्यों अलर्ट पर हैं?

क्रिप्टो में, एक्सपोज़्ड API key से किसी का ट्रेडिंग अकाउंट मिनटों में खाली हो सकता है। कई keys वॉलेट्स, कस्टडी टूल्स या एक्सचेंज बोट्स तक सीधा एक्सेस खोल देते हैं। इसी लिए CZ ने अपने फॉलोअर्स को तुरंत चेतावनी दी।

If you have API keys in your code, even private repos, now is the time to double check and change them… https://t.co/DhzATRTyNQ
— CZ 🔶 BNB (@cz_binance) May 20, 2026

CZ, Source: X

इस सेक्टर को पहले भी ऐसे झटके लग चुके हैं। इस साल के शुरुआत में इन्फ्रास्ट्रक्चर प्रोवाइडर Vercel के ब्रीच के बाद टीम्स को अपनी keys रोटेट करनी पड़ी थीं। 3Commas का 2022 का लीक लगभग 100,000 यूजर्स की keys को एक्सपोज़ कर चुका है।

इसके अलावा, Bitwarden पासवर्ड मैनेजर पर सप्लाई चेन अटैक में वॉलेट सीड्स और डिवेलपर टोकन्स चोरी हो गए थे। बाद में ये डेटा GitHub रिपॉजिटरीज़ के अंदर छुपा दिया गया।

डिवेलपर्स अक्सर प्राइवेट keys कोड, बिल्ड स्क्रिप्ट्स या छुपी हुई कॉन्फिग फाइल्स में छोड़ देते हैं, यह सोचकर कि कोई बाहरी इन्हें नहीं देख पाएगा। GitHub केस दिखाता है कि इंटरनल सिस्टम्स भी पब्लिक सिस्टम्स की तरह ब्रेक हो सकते हैं।

GitHub का कहना है कि उनकी टीम अभी भी लॉग्स चेक कर रही है। आने वाले दिनों में साफ हो जाएगा कि इन चोरी हुई रिपॉजिटरीज़ में कोई ऐसा कोड या सीक्रेट है, जो क्रिप्टो इन्फ्रास्ट्रक्चर से जुड़ा हुआ हो।

हमारी वेबसाइट पर सभी जानकारी अच्छे इरादे से और केवल सामान्य सूचना के उद्देश्य से प्रकाशित की जाती है, ताकि पाठक जागरूक रह सकें। हमारी वेबसाइट पर दी गई जानकारी के आधार पर पाठक द्वारा की गई प्रत्येक कार्रवाई पूरी तरह से उनके अपने जोखिम पर होती है। कृपया हमारी नियम और शर्तें, गोपनीयता नीति और अस्वीकरण पढ़ें।