GitHub.dev: один клик позволяет похитить полный OAuth‑токен

Коллеги, хочу обратить внимание из сферы кибербезопасности: в GitHub.dev обнаружена уязвимость, позволяющая похитить OAuth‑токен одним кликом.
Исследователь Ammar Askar показал, как вредоносный webview в браузерной версии VS Code симулирует нажатия, открывает Command Palette и устанавливает локальное расширение, которое извлекает токен, переданный github.dev. Токен не ограничен репозиторием и даёт доступ ко всем репозиториям, включая приватные.
GitHub был уведомлен 2 июня, Microsoft подтвердила проблему; VS Code Desktop не затронут.
Почему это важно: скомпрометированные токены дают доступ к коду и CI — риск атак цепочки поставок. Рекомендую обновить среду, удалить подозрительные расширения и ротировать токены.
Как Вы планируете реагировать на эту угрозу?
#кибербезопасность #GitHub #VSCode #OAuth


Последние комментарии
Комментариев пока нет.