Home
vulnerabilities

VS Code Extension মার্কেটপ্লেসে ভয়াবহ ফাঁস: মিলিয়ন ডেভেলপার Supply Chain ঝুঁকিতে | Bug Mohol

Visual Studio Code এর Open VSX মার্কেটপ্লেসে ভয়ংকর ফাঁস! মিলিয়ন ডেভেলপার এখন Supply Chain হ্যাকের ঝুঁকিতে। বিস্তারিত জানুন Bug Mohol-এ।
Bugmohol

🔓 VS Code Extension মার্কেটপ্লেসে ভয়াবহ ফাঁস: মিলিয়ন ডেভেলপার Supply Chain ঝুঁকিতে

🛡️ Bug Mohol প্রতিবেদন | ২৭ জুন ২০২৫

Open VSX Registry Vulnerability Report by Bug Mohol

সম্প্রতি Koi Security-এর গবেষক ওরেন ইয়মতোভ একটি Critical Vulnerability প্রকাশ করেছেন যা Open VSX Registry (open-vsx.org)-এ আবিষ্কৃত হয়েছে। এই ফাঁকির কারণে Visual Studio Code-এর বিকল্প এক্সটেনশন মার্কেটপ্লেস পুরোপুরি হ্যাক হওয়ার আশঙ্কা ছিল।

এই ত্রুটি সফলভাবে এক্সপ্লয়েট করা গেলে হ্যাকার পুরো মার্কেটপ্লেসের নিয়ন্ত্রণ নিতে পারতো এবং সেখান থেকে মিলিয়ন ডেভেলপারের মেশিনে ম্যালওয়্যার ইনজেক্ট করতে পারতো।

📦 Open VSX কী এবং কেন গুরুত্বপূর্ণ?

Open VSX Registry হলো একটি ওপেন-সোর্স VS Code Extension মার্কেটপ্লেস, যেটি Eclipse Foundation দ্বারা পরিচালিত। এটি Cursor, Windsurf, Google Cloud Shell, Gitpod-এর মতো বহু কোড এডিটরে ব্যবহার করা হয়।

এটি ভিজ্যুয়াল স্টুডিও মার্কেটপ্লেসের বিকল্প হিসেবে ব্যবহৃত হয়, তাই এটি হ্যাক হলে প্রত্যেকবার extension ইনস্টল বা আপডেটের মাধ্যমে ব্যাকডোর ঢুকতে পারে।

💣 ভয়ের আসল জায়গাটা কোথায়?

এই দুর্বলতা মূলত GitHub Actions CI/CD Pipeline-এর মধ্যে ছিল, যা প্রতিদিন ৩:০৩am UTC-তে স্বয়ংক্রিয়ভাবে extension প্রকাশ করত।

  • একটি extensions.json ফাইলে নাম যুক্ত করে Pull Request করলে, সেটি Merge হওয়ার পর, ওই extension স্বয়ংক্রিয়ভাবে প্রকাশিত হতো।
  • এই process-এ ব্যবহৃত হত OVSX_PAT নামক একটি highly privileged token।
  • সমস্যা হলো, npm install এর সময় সব build script চলে, এবং তারা এই টোকেনে access পেতে পারত!

ফলে, একটি malicious dependency দিয়েই হ্যাকার @open-vsx অ্যাকাউন্ট হাইজ্যাক করে যেকোনো extension overwrite করতে পারতো।

🧠 Supply Chain Attack: কেন ভয়াবহ?

এটি সাইবার দুনিয়ার সবচেয়ে ভয়ঙ্কর ধরণের হ্যাক: সাপ্লাই চেইন অ্যাটাক। এখানে ব্যবহারকারীরা কিছু বুঝে ওঠার আগেই তাঁদের মেশিনে malicious update ঢুকে পড়ে।

MITRE ATTACK Framework ইতিমধ্যেই T1659: IDE Extensions নামে নতুন টেকনিক যুক্ত করেছে — যেখানে বলা হয়েছে, IDE এক্সটেনশনগুলোর মাধ্যমে হ্যাকাররা দীর্ঘস্থায়ী foothold তৈরি করতে পারে।

🏗️ কী পদক্ষেপ নেওয়া হয়েছে?

  • ৪ মে ২০২৫: Vulnerability responsible disclosure করা হয়।
  • ২৫ জুন ২০২৫: Official fix প্রয়োগ করা হয়।
  • Future builds-এ OVSX_PAT token expose না করার সিদ্ধান্ত নেওয়া হয়েছে।

✅ কীভাবে নিজেকে নিরাপদ রাখবেন?

  • Auto-update বন্ধ করুন — হ্যাকার কোড ইনজেক্ট করতে পারবে না।
  • Extension permission নিয়মিত চেক করুন
  • CI/CD pipeline-এ secret exposure বন্ধ করুন
  • Verified এক্সটেনশন ছাড়া কিছুই ব্যবহার করবেন না

🧠 উপসংহার

এই ঘটনা আবারও প্রমাণ করলো — যত ছোটই হোক, CI/CD বা Extension Publishing-এর কোনো ফাঁক গোটা Developer Ecosystem ধ্বংস করে দিতে পারে। এখন সময় এসেছে VS Code extension-কে npm বা PyPI-এর মতোই High-risk component হিসেবে দেখা শুরু করার।

📎 আরও গুরুত্বপূর্ণ প্রতিবেদন পড়ুন:

Bug Mohol থেকে প্রতিদিন এই ধরনের আপডেট পেতে bugmohol.com ব্রাউজ করুন। পোস্টটি ভালো লাগলে শেয়ার করতে ভুলবেন না।

Post a Comment