🔴 0-day в VS Code: твой GitHub уже читает кто-то другой

🔴 0-day в VS Code: твой GitHub уже читает кто-то другой

Пока ты пишешь код - кто-то пишет в твои приватные репы. 😏

ИБ-исследователь Аммар Аскар опубликовал рабочий PoC-эксплойт для 0-day в Visual Studio Code, который позволяет угнать GitHub OAuth-токен одним кликом по ссылке. Никакого фишинга, никакой социалки - просто клик, и привет, все твои репозитории (включая приватные) уже в чужих руках. 🫠

⚙️ Как это работает:

- Атакующий создаёт вредоносный Jupyter Notebook и кладёт его в репо

- Жертва открывает репо через github.dev (браузерный VS Code)

- Внутри ноутбука - скрытый JS, который симулирует нажатие клавиш (Ctrl+Shift+P), открывает Command Palette и

молча устанавливает малварь-расширение

- Расширение выдёргивает OAuth-токен из внутреннего хранилища и сливает его атакующему

- Токен - не скоупированный, то есть даёт полный read/write доступ ко ВСЕМ репозиториям жертвы, не только к открытому 💀

💣 Почему это критично:

OAuth-токен, который github.com передаёт в github.dev, не ограничен конкретным репозиторием. Это приглашение в весь аккаунт. Supply chain атака мечты - скомпрометировать одного разработчика = получить доступ к кодовой базе всей его команды/компании.

🛡️ Что делать прямо сейчас:

Microsoft говорит, что пропатчила серверную сторону (github.dev) 3 июня. Но десктопная версия VS Code - до сих пор под вопросом

.

Почисти данные сайта github.dev в браузере:

Настройки адресной строки → Cookies and site data → Manage on-device site data → удали github.dev

Аскар, к слову, не стал ждать Microsoft и дропнул PoC публично - потому что уже терял доверие к тому, как редмондцы обрабатывают баги. Респект за честность. 🤘

🔗 Детали: blog.ammaraskar.com | BleepingComputer | SecurityWeek

#security #vscode #github #0day #infosec #bugbounty #разработка #кибербезопасность