VMTech
+381 11 4150 20024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

GitHub.dev: один клик позволяет похитить полный OAuth‑токен

GitHub.dev: один клик позволяет похитить полный OAuth‑токен

Коллеги, хочу обратить внимание из сферы кибербезопасности: в GitHub.dev обнаружена уязвимость, позволяющая похитить OAuth‑токен одним кликом.

Исследователь Ammar Askar показал, как вредоносный webview в браузерной версии VS Code симулирует нажатия, открывает Command Palette и устанавливает локальное расширение, которое извлекает токен, переданный github.dev. Токен не ограничен репозиторием и даёт доступ ко всем репозиториям, включая приватные.

GitHub был уведомлен 2 июня, Microsoft подтвердила проблему; VS Code Desktop не затронут.

Почему это важно: скомпрометированные токены дают доступ к коду и CI — риск атак цепочки поставок. Рекомендую обновить среду, удалить подозрительные расширения и ротировать токены.

Как Вы планируете реагировать на эту угрозу?
#кибербезопасность #GitHub #VSCode #OAuth

Последние комментарии

Комментариев пока нет.