सुरक्षा शोधकर्ता अम्मार अस्कर ने 2 जून, 2026 को विजुअल स्टूडियो कोड में एक गंभीर दुर्बलता का खुलासा किया, जिसमें यह पता चला कि हमलावर एक धोखेबाज़, एक-क्लिक हमले के माध्यम से गिटहब OAuth टोकन चुरा सकते हैं। माइक्रोसॉफ्ट ने अगले ही दिन, 3 जून को एक अस्थायी समाधान जारी किया, जिससे स्पष्ट होता है कि रेडमंड ने इस मामले को कितनी गंभीरता से लिया।
यह दोष GitHub.dev को लक्षित करता है, जो VS Code का ब्राउज़र-आधारित संस्करण है जिसका लाखों डेवलपर्स अपने ब्राउज़र में कोड संपादित करने के लिए उपयोग करते हैं। इस दुर्बलता का दुरुपयोग करने वाला हमलावर पीड़ित के संक्रमित टोकन से जुड़े प्रत्येक रिपॉजिटरी, जिसमें निजी रिपॉजिटरी भी शामिल हैं, तक पहुँच प्राप्त कर सकता है।
आक्रमण कैसे काम करता है
दुर्बलता VS Code के वेबव्यू सिस्टम में मौजूद है, जो संपादक के भीतर एम्बेडेड वेब कंटेंट को रेंडर करने के लिए जिम्मेदार है। वेबव्यू मुख्य VS Code प्रक्रिया के साथ संदेश-पासिंग तंत्र के माध्यम से संचार करते हैं, और यहीं बातें दिलचस्प हो जाती हैं।
हमले की श्रृंखला एक दुर्भावनापूर्ण लिंक से शुरू होती है जो GitHub.dev वर्कस्पेस की ओर इशारा करती है। उस वर्कस्पेस के अंदर एक Jupyter नोटबुक स्थित है जिसमें हानिकारक JavaScript शामिल है। जब कोई पीड़ित लिंक खोलता है, तो नोटबुक का कोड वेबव्यू संदर्भ में निष्पादित होता है।
वहाँ से, दुष्ट स्क्रिप्ट VS Code के इंटरफ़ेस के साथ प्रोग्रामेटिक रूप से बातचीत करने के लिए कीबोर्ड घटनाओं का अनुकरण करती है। यह GitHub.dev द्वारा वर्कस्पेस कंटेंट्स को दिया गया विश्वास मॉडल का लाभ उठाती है, जिससे एडिटर को आक्रमक कोड को मान्य उपयोगकर्ता इनपुट के रूप में व्यवहार करने के लिए धोखा दिया जाता है।
फिर स्क्रिप्ट विश्वसनीय कार्यस्थल से एक दुर्भावनापूर्ण एक्सटेंशन स्थापित करती है। वह एक्सटेंशन बिना किसी दृश्य चेतावनी के शिकार का GitHub OAuth टोकन चुरा लेता है। पूरी प्रक्रिया के लिए केवल एक लिंक पर क्लिक करना ही पर्याप्त है।
अस्कर ने खुलासे के साथ एक पूर्ण सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट रिपॉजिटरी जारी की, जिससे सुरक्षा टीमों को दुर्बलता को समझने और परीक्षण करने के लिए आवश्यक जानकारी मिलती है।
माइक्रोसॉफ्ट की प्रतिक्रिया और व्यापक पैटर्न
माइक्रोसॉफ्ट का जून 3 का पैच दो महत्वपूर्ण सुरक्षा उपाय शामिल करता है। पहला, यह GitHub.dev के भीतर कुछ फाइल प्रकारों को खोलने के प्रयास पर एक पुष्टि संवाद जोड़ता है, जिससे हमले को इतना प्रभावी बनाने वाली सुगम एक-क्लिक श्रृंखला टूट जाती है। दूसरा, यह उन संभावित हानिकारक एक्सटेंशन कमांड्स को ब्लॉक करता है जिन पर हमला दुष्ट कोड को चुपचाप स्थापित करने के लिए निर्भर करता था।
इस उद्घाटन का समय ध्यान देने योग्य है। केवल कुछ सप्ताह पहले, 20 मई, 2026 को, GitHub खुद एक सुरक्षा लंघन का शिकार हुआ, जब एक विषैला VS Code एक्सटेंशन ने लगभग 3,800 आंतरिक रिपॉजिटरीज़ को संक्रमित कर दिया।
इसका विकासकों और संगठनों के लिए क्या अर्थ है
व्यक्तिगत डेवलपर्स के लिए, त немी एक्शन सरल है: GitHub.dev सेशन्स को Microsoft के नवीनतम पैचेस के साथ अपडेट करें। किसी भी OAuth टोकन को रोटेट करें जो संभावित रूप से एक्सपोज हो गया हो, खासकर अगर आपने पिछले कुछ सप्ताहों में GitHub.dev वर्कस्पेसेस के लिए अपरिचित लिंक्स पर क्लिक किया हो। अपने स्थापित एक्सटेंशन्स की समीक्षा करें और जो कुछ भी आप सक्रिय रूप से उपयोग नहीं करते, उसे हटा दें।
सुरक्षा टीमों को यह जांचनी चाहिए कि GitHub.dev तक किन कर्मचारियों का एक्सेस है और क्या उनके OAuth टोकन में आवश्यकता से अधिक व्यापक अधिकार हैं। न्यूनतम अधिकार का सिद्धांत, जिसमें टोकन को केवल आवश्यक न्यूनतम एक्सेस दिया जाता है, इस विशिष्ट हमले से हुए क्षति को काफी हद तक सीमित करता।