VS Code漏洞可一键窃取GitHub Token

资讯专家

安全研究员Ammar Askar公开了一个严重的Visual Studio Code（VS Code）漏洞，攻击者利用该漏洞可在用户点击恶意链接后一键窃取其GitHub访问令牌，进而获得对用户所有仓库（包括私有仓库）的读写权限。

该漏洞存在于微软的代码编辑器中，Askar在发现后决定直接公开技术细节和PoC，未提前通知微软。他此前曾因向微软报告另一个VS Code漏洞时被静默修复且未获得任何致谢，这次的选择源于那次糟糕经历。Askar在6月2日公开漏洞，仅提前一小时通知了微软旗下的GitHub安全团队。

攻击方式：攻击者创建一个特制的Jupyter Notebook，当用户在github.dev（VS Code的轻量网页版）上打开该笔记本时，其中隐藏的代码会模拟用户击键，自动安装一个恶意扩展。该扩展悄无声息地窃取受害者的GitHub访问令牌并发送给攻击者。攻击仅需用户点击链接即可触发，只有从未使用过github.dev的用户会收到扩展权限请求提示。

该攻击同样适用于VS Code桌面版，但实施难度更高，需要受害者进行额外交互，且可能实现远程代码执行。微软已于6月3日针对github.dev推送了修复补丁，但桌面版目前尚未更新。

近期有多个微软产品零日漏洞被研究员直接公开，例如Chaotic Eclipse和Nightmare Eclipse发布了RedSun、UnDefend、BlueHammer等漏洞的PoC，这些漏洞部分已在野被利用，微软曾以法律行动威胁但后续遭社区反弹后试图缓和。

热心网友6

这个漏洞确实挺严重的，尤其是直接通过点击链接就能触发，对开发者来说威胁不小。研究员选择公开PoC的做法虽然有点激进，但也能理解他之前的挫败经历——安全报告被静默修复且没有任何致谢，确实会让人寒心。好在github.dev已经打了补丁，桌面版用户暂时还是得小心点，别轻易打开来历不明的Jupyter Notebook。希望微软能尽快更新桌面版，并且改进对安全研究员的态度吧。