VS Code Extension মার্কেটপ্লেসে ভয়াবহ ফাঁস: মিলিয়ন ডেভেলপার Supply Chain ঝুঁকিতে | Bug Mohol

🔓 VS Code Extension মার্কেটপ্লেসে ভয়াবহ ফাঁস: মিলিয়ন ডেভেলপার Supply Chain ঝুঁকিতে

🛡️ Bug Mohol প্রতিবেদন | ২৭ জুন ২০২৫

সম্প্রতি Koi Security-এর গবেষক ওরেন ইয়মতোভ একটি Critical Vulnerability প্রকাশ করেছেন যা Open VSX Registry (open-vsx.org)-এ আবিষ্কৃত হয়েছে। এই ফাঁকির কারণে Visual Studio Code-এর বিকল্প এক্সটেনশন মার্কেটপ্লেস পুরোপুরি হ্যাক হওয়ার আশঙ্কা ছিল।

এই ত্রুটি সফলভাবে এক্সপ্লয়েট করা গেলে হ্যাকার পুরো মার্কেটপ্লেসের নিয়ন্ত্রণ নিতে পারতো এবং সেখান থেকে মিলিয়ন ডেভেলপারের মেশিনে ম্যালওয়্যার ইনজেক্ট করতে পারতো।

📦 Open VSX কী এবং কেন গুরুত্বপূর্ণ?

Open VSX Registry হলো একটি ওপেন-সোর্স VS Code Extension মার্কেটপ্লেস, যেটি Eclipse Foundation দ্বারা পরিচালিত। এটি Cursor, Windsurf, Google Cloud Shell, Gitpod-এর মতো বহু কোড এডিটরে ব্যবহার করা হয়।

এটি ভিজ্যুয়াল স্টুডিও মার্কেটপ্লেসের বিকল্প হিসেবে ব্যবহৃত হয়, তাই এটি হ্যাক হলে প্রত্যেকবার extension ইনস্টল বা আপডেটের মাধ্যমে ব্যাকডোর ঢুকতে পারে।

💣 ভয়ের আসল জায়গাটা কোথায়?

এই দুর্বলতা মূলত GitHub Actions CI/CD Pipeline-এর মধ্যে ছিল, যা প্রতিদিন ৩:০৩am UTC-তে স্বয়ংক্রিয়ভাবে extension প্রকাশ করত।

• একটি extensions.json ফাইলে নাম যুক্ত করে Pull Request করলে, সেটি Merge হওয়ার পর, ওই extension স্বয়ংক্রিয়ভাবে প্রকাশিত হতো।
• এই process-এ ব্যবহৃত হত OVSX_PAT নামক একটি highly privileged token।
• সমস্যা হলো, npm install এর সময় সব build script চলে, এবং তারা এই টোকেনে access পেতে পারত!

ফলে, একটি malicious dependency দিয়েই হ্যাকার @open-vsx অ্যাকাউন্ট হাইজ্যাক করে যেকোনো extension overwrite করতে পারতো।

🧠 Supply Chain Attack: কেন ভয়াবহ?

এটি সাইবার দুনিয়ার সবচেয়ে ভয়ঙ্কর ধরণের হ্যাক: সাপ্লাই চেইন অ্যাটাক। এখানে ব্যবহারকারীরা কিছু বুঝে ওঠার আগেই তাঁদের মেশিনে malicious update ঢুকে পড়ে।

MITRE ATTACK Framework ইতিমধ্যেই T1659: IDE Extensions নামে নতুন টেকনিক যুক্ত করেছে — যেখানে বলা হয়েছে, IDE এক্সটেনশনগুলোর মাধ্যমে হ্যাকাররা দীর্ঘস্থায়ী foothold তৈরি করতে পারে।

🏗️ কী পদক্ষেপ নেওয়া হয়েছে?

• ৪ মে ২০২৫: Vulnerability responsible disclosure করা হয়।
• ২৫ জুন ২০২৫: Official fix প্রয়োগ করা হয়।
• Future builds-এ OVSX_PAT token expose না করার সিদ্ধান্ত নেওয়া হয়েছে।

✅ কীভাবে নিজেকে নিরাপদ রাখবেন?

• Auto-update বন্ধ করুন — হ্যাকার কোড ইনজেক্ট করতে পারবে না।
• Extension permission নিয়মিত চেক করুন।
• CI/CD pipeline-এ secret exposure বন্ধ করুন।
• Verified এক্সটেনশন ছাড়া কিছুই ব্যবহার করবেন না।

🧠 উপসংহার

এই ঘটনা আবারও প্রমাণ করলো — যত ছোটই হোক, CI/CD বা Extension Publishing-এর কোনো ফাঁক গোটা Developer Ecosystem ধ্বংস করে দিতে পারে। এখন সময় এসেছে VS Code extension-কে npm বা PyPI-এর মতোই High-risk component হিসেবে দেখা শুরু করার।

---

📎 আরও গুরুত্বপূর্ণ প্রতিবেদন পড়ুন:

• 👉 ফ্রি RDP বানান ২০২৫ সালে – ১ ক্লিকেই ✅
• 👉 Google, Facebook, Apple – ১৬ বিলিয়ন পাসওয়ার্ড ফাঁস! 😱
• 👉 Anubis Ransomware: ফাইল এনক্রিপ্ট, ডিলিট, ব্ল্যাকমেইল 🎯
• 👉 Apple Zero Click: Paragon Graphite স্পাইওয়্যার বিপদে iPhone 🔍
• 👉 WordPress Hack: VexTrio গ্লোবাল স্ক্যাম নেটওয়ার্ক উন্মোচন 🌐

Bug Mohol থেকে প্রতিদিন এই ধরনের আপডেট পেতে bugmohol.com ব্রাউজ করুন। পোস্টটি ভালো লাগলে শেয়ার করতে ভুলবেন না।