VS Code जीरो-डे: कैसे एक क्लिक आपके पूरे GitHub अकाउंट को लीला कर सकता है

उन्होंने साफ कहा कि MSRC प्रक्रिया से दोबारा निपटने में उनकी “कोई दिलचस्पी” नहीं है । पिछली बग को शुरू में GitHub के HackerOne प्रोग्राम को रिपोर्ट किया गया था, जिसने स्पष्ट रूप से कहा कि यह उनके दायरे से बाहर है और इसे MSRC के पास ले जाएं — एक नौकरशाही हस्तांतरण जिसने खोज को बिना मुआवजे और बिना मान्यता के छोड़ दिया ।

हमला कैसे काम करता है: चार चरणों की श्रृंखला

यह एक्सप्लॉइट तीन कमजोरियों को एक सहज श्रृंखला में जोड़ता है, जो github.dev की हर सुरक्षा सीमा को पार कर जाती है।

1. वेबव्यू कीबोर्ड इवेंट फॉरवर्डिंग

VS Code के वेबव्यू — अलग-थलग सैंडबॉक्स जो ज्यूपिटर नोटबुक, मार्कडाउन प्रीव्यू और इसी तरह की सामग्री को रेंडर करते हैं — को सुरक्षित कम्पार्टमेंट के रूप में डिज़ाइन किया जाता है। लेकिन उनके अंदर कीबोर्ड शॉर्टकट को काम करने के लिए, एडिटर सैंडबॉक्स्ड वेबव्यू से की इवेंट्स को मुख्य एडिटर प्रोसेस में फॉरवर्ड करता है ।

2. सिंथेटिक कीस्ट्रोक इंजेक्शन

हमलावर के रिपॉजिटरी के अंदर एक दुर्भावनापूर्ण ज्यूपिटर नोटबुक, सैंडबॉक्स्ड वेबव्यू से सीधे VS Code की मुख्य विंडो में सिंथेटिक कीबोर्ड इवेंट्स (Ctrl+Shift+A, Ctrl+F1) भेजता है । ये कीस्ट्रोक्स चुपचाप "इंस्टॉल एक्सटेंशन" कमांड को ट्रिगर करते हैं और पब्लिशर वेरिफिकेशन ट्रस्ट डायलॉग को बायपास कर देते हैं, जो सामान्यतः अविश्वसनीय एक्सटेंशंस को रोकता है ।

3. लोकल वर्कस्पेस एक्सटेंशन ट्रस्ट

हमलावर के रिपॉजिटरी में .vscode/extensions फोल्डर में एक पहले से पैकेज्ड VS Code एक्सटेंशन मौजूद होता है। चूंकि github.dev वर्कस्पेस के साथ आने वाले एक्सटेंशंस को अंतर्निहित रूप से विश्वसनीय मानता है, यह दुर्भावनापूर्ण एक्सटेंशन बिना किसी यूज़र परमिशन प्रॉम्प्ट के इंस्टॉल हो जाता है ।

4. OAuth टोकन एक्सफिल्ट्रेशन

एक बार एक्टिवेट होने पर, रॉग एक्सटेंशन को github.dev के रनटाइम एनवायरनमेंट का पूरा एक्सेस मिल जाता है। इस एनवायरनमेंट में एक GitHub OAuth टोकन होता है, जिसे github.com किसी भी रिपॉजिटरी के खुलने पर चुपचाप github.dev को POST करता है। अहम रूप से, यह टोकन सिर्फ वर्तमान में खुली रिपॉजिटरी तक सीमित नहीं होता — यह उपयोगकर्ता के पूर्ण एक्सेस अधिकारों को लिए होता है । एक्सटेंशन इस टोकन को निकालता है, पीड़ित की प्राइवेट रिपॉजिटरी की सूची के लिए GitHub API को क्वेरी करता है, और टोकन तथा रिपॉजिटरी मेटाडेटा दोनों को हमलावर के पास भेज देता है ।

नतीजा: एक लिंक क्लिक से, पीड़ित की पहुंच वाली हर सार्वजनिक और निजी रिपॉजिटरी को पढ़ने और लिखने का पूरा एक्सेस हमलावर को मिल जाता है ।

Microsoft की प्रतिक्रिया

Microsoft ने 2 जून 2026 को भेद्यता को स्वीकार किया और पुष्टि की कि इसे उसकी सेवाओं — विशेष रूप से github.dev और वेब के लिए VS Code — के लिए कम किया जा चुका है ।

3 जून को, Microsoft ने सर्वर-साइड फिक्स लागू किए, जिनमें ब्राउज़र-आधारित नोटबुक खोलते समय एक ट्रस्ट कन्फर्मेशन स्टेप जोड़ना और एक्सटेंशन इंस्टॉल कमांड को मनमाने कॉलर इनफॉरमेशन स्वीकार करने से रोकना शामिल था । 4 जून तक, अतिरिक्त वेबव्यू इवेंट हैंडलिंग प्रतिबंध तैनात किए गए ।

Microsoft ने कहा कि यह मुद्दा VS Code डेस्कटॉप को प्रभावित नहीं करता । हालांकि, अंतर्निहित पैटर्न — अपर्याप्त सत्यापन के साथ वर्कस्पेस एक्सटेंशंस पर भरोसा करना — किसी भी VS Code उपयोगकर्ता के लिए चिंता बढ़ाता है जो स्थानीय रूप से अविश्वसनीय रिपॉजिटरी खोलता है।

इसे क्या अलग बनाता है

यह एक्सप्लॉइट श्रृंखला तीन कारणों से उल्लेखनीय है।

पहला, हमले की सतह एक URL है। पीड़ितों को कोई फ़ाइल डाउनलोड करने, टर्मिनल खोलने या किसी अनुमति को मंजूरी देने की ज़रूरत नहीं है। github.dev का एक ब्राउज़र लिंक ही एकमात्र शर्त है।

दूसरा, टोकन का दायरा चिंताजनक रूप से व्यापक है। github.com द्वारा github.dev को दिया जाने वाला OAuth टोकन केवल देखी जा रही रिपॉजिटरी तक सीमित नहीं है। यह उपयोगकर्ता की संपूर्ण GitHub अनुमतियों को लिए होता है, जिसका अर्थ है कि एक सार्वजनिक ओपन-सोर्स प्रोजेक्ट पर काम करने वाले डेवलपर को कम्प्रोमाइज़ करने वाला हमलावर, उस डेवलपर के नियोक्ता की निजी रिपॉजिटरी के क्रेडेंशियल्स भी हासिल कर लेता है ।

तीसरा, वर्कस्पेस ट्रस्ट उलट गया है। वह सुविधा जो स्थानीय विकास को सुगम बनाती है — किसी प्रोजेक्ट के साथ आने वाले एक्सटेंशंस पर भरोसा करना — वही तंत्र बन जाती है जो दुर्भावनापूर्ण पेलोड को स्वचालित एक्जीक्यूशन प्रदान करती है।

OpenClaw AI एजेंट: पांच जीरो-डे आइडेंटिटी स्पूफिंग खामियां

एक समानांतर खुलासे में, शोधकर्ताओं ने OpenClaw AI एजेंट फ्रेमवर्क में पांच जीरो-डे भेद्यताएं प्रकाशित कीं, जो हमलावरों को स्वीकृत उपयोगकर्ताओं का रूप धारण करने और कई मैसेजिंग प्लेटफॉर्म पर विश्वसनीय AI एजेंट एक्सेस को हाईजैक करने की अनुमति देती हैं ।

इसका मूल कारण वास्तुकला संबंधी है: OpenClaw 15 विभिन्न चैनल एडाप्टर्स — टेलीग्राम, स्लैक, डिस्कॉर्ड, व्हाट्सएप और अधिक — को सपोर्ट करता है, और प्रत्येक एडाप्टर स्वतंत्र रूप से अपना स्वयं का अनुमति-सूची (allowlist) प्राधिकरण और वेबहुक सत्यापन लागू करता है । अनुमति-सूचीकरण के लिए उपयोग किए जाने वाले सुरक्षा-महत्वपूर्ण पहचान क्षेत्र, जैसे कि मानव-पठनीय प्रदर्शन नाम, प्लेटफ़ॉर्म स्तर पर परिवर्तनशील होते हैं और विभिन्न एडाप्टर्स में असंगत रूप से स्थिर उपयोगकर्ता ID में परिवर्तित किए जाते हैं ।

चूंकि कोई केंद्रीकृत नीति प्रवर्तन परत नहीं है, हमलावर यह कर सकते हैं:

• एक चैनल पर किसी स्वीकृत उपयोगकर्ता का रूप धारण कर सकते हैं, बस अपना प्रदर्शन नाम बदलकर अधिकृत पहचान से मिला सकते हैं ।
• विभिन्न चैनल एक्सटेंशंस में असंगत पहचान समाधान का फायदा उठा सकते हैं, उन विश्वास जांचों को बायपास करने के लिए जो एक चैनल पर तो काम करती हैं लेकिन दूसरे पर विफल हो जाती हैं ।
• बिना किसी मान्य क्रेडेंशियल्स के AI एजेंट के एक्सेस विशेषाधिकारों को हाईजैक कर सकते हैं — जिनमें अक्सर शेल एक्सेस, API कुंजियाँ और फाइलसिस्टम अनुमतियां शामिल होती हैं ।

3 जून 2026 के एक arXiv सुरक्षा विश्लेषण ने कई वास्तु परतों (एक्जीक्यूशन पॉलिसी, गेटवे, चैनल, सैंडबॉक्स, ब्राउज़र, प्लगइन और प्रॉम्प्ट) में भेद्यताओं की पहचान की, जिसमें प्रमुख संरचनात्मक पैटर्न एकीकृत नीति सीमाओं के बजाय प्रति-परत, प्रति-कॉल-साइट विश्वास प्रवर्तन था । विश्लेषण में पाया गया कि अलग-अलग वास्तु संबंधी कमजोरियाँ मिलकर रिमोट कोड एक्जीक्यूशन के संपूर्ण बिना प्रमाणीकरण वाले पथ का निर्माण करती हैं ।

सिंगापुर साइबर सुरक्षा एजेंसी (CSA) ने मई 2026 के अंत में बिना पैच वाली कमजोरियों, कमजोर एक्सेस कंट्रोल और ClawHub मार्केटप्लेस पर दुर्भावनापूर्ण थर्ड-पार्टी स्किल्स के जोखिम के बारे में चेतावनी जारी की थी ।