🌟 Atualização imperdÃvel para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram um ataque de um clique por meio do Microsoft Visual Studio Code (VS Code) que torna possÃvel roubar o token GitHub de um usuário.
“Apenas clicando em um link, é possÃvel que um invasor roube um token do GitHub que pode ler e gravar em seus repositórios, incluindo os privados”, disse o pesquisador de segurança Ammar Askar.
GitHub oferece suporte a um recurso chamado GitHub.dev que é executado como um editor leve de código-fonte baseado na Web na sandbox do navegador da Web, iniciando um ambiente VS Code. Ele permite que os usuários enviem solicitações pull e façam commits.
“Essa funcionalidade é obtida por meio do POST do github.com sobre um token OAuth para o github.dev que permite interagir com o GitHub em seu nome”, disse Askar. "O token não tem como escopo o repositório especÃfico com o qual você interagiu, o que significa que ele tem acesso total a todos os outros repositórios aos quais você tem acesso."
Resumindo, a vulnerabilidade permite que invasores instalem extensões maliciosas do VS Code que roubam tokens GitHub OAuth quando são passados para GitHub.dev, explorando um mecanismo de passagem de mensagens entre a janela principal do VS Code e as visualizações na web. Webviews são usados para renderizar visualizações do Markdown ou editar notebooks Jupyter.
Especificamente, a exploração executa JavaScript malicioso dentro de um webview não confiável para simular pressionamentos de teclas (também conhecidos como eventos de keydown) na janela principal do editor, abrir a paleta de comandos acionando "Ctrl+Shift+P" e instalar uma extensão controlada pelo invasor que extrai o token GitHub OAuth enviado para GitHub.dev e consulta a API GitHub para enumerar todos os repositórios privados que a vÃtima pode acessar.
É importante notar que a abordagem também aproveita um recurso do VS Code chamado extensões de espaço de trabalho local que permite que uma extensão seja instalada diretamente sem apresentar qualquer prompt de diálogo de confiança adicional, desde que seja colocado na pasta ".vscode/extensions" dentro desse espaço de trabalho, ignorando efetivamente a verificação de confiança do editor.
“No entanto, este é apenas um pequeno problema, uma das coisas que as extensões podem fazer como parte de seu package.json é contribuir com atalhos de teclado extras para o VS Code”, explicou o pesquisador. "Como podemos acionar atalhos de teclado de maneira confiável, podemos simplesmente adicionar um atalho de teclado para qualquer comando do VS Code que desejarmos, como instalar uma extensão enquanto ignoramos a verificação do editor confiável."
O pesquisador também observou que o GitHub foi notificado sobre a vulnerabilidade em 2 de junho de 2026, uma hora após a qual os detalhes do problema se tornaram de conhecimento público, citando a maneira como a Microsoft lidou com bugs relacionados ao VS Code no passado. No momento em que este artigo foi escrito, a Microsoft reconheceu a vulnerabilidade e observou que está trabalhando em uma correção.
“Para esclarecer, este problema não afeta o VS Code Desktop”, disse Alexandru Dima, gerente de engenharia de software parceiro da Microsoft.
“Apenas clicando em um link, é possÃvel que um invasor roube um token do GitHub que pode ler e gravar em seus repositórios, incluindo os privados”, disse o pesquisador de segurança Ammar Askar.
GitHub oferece suporte a um recurso chamado GitHub.dev que é executado como um editor leve de código-fonte baseado na Web na sandbox do navegador da Web, iniciando um ambiente VS Code. Ele permite que os usuários enviem solicitações pull e façam commits.
“Essa funcionalidade é obtida por meio do POST do github.com sobre um token OAuth para o github.dev que permite interagir com o GitHub em seu nome”, disse Askar. "O token não tem como escopo o repositório especÃfico com o qual você interagiu, o que significa que ele tem acesso total a todos os outros repositórios aos quais você tem acesso."
Resumindo, a vulnerabilidade permite que invasores instalem extensões maliciosas do VS Code que roubam tokens GitHub OAuth quando são passados para GitHub.dev, explorando um mecanismo de passagem de mensagens entre a janela principal do VS Code e as visualizações na web. Webviews são usados para renderizar visualizações do Markdown ou editar notebooks Jupyter.
Especificamente, a exploração executa JavaScript malicioso dentro de um webview não confiável para simular pressionamentos de teclas (também conhecidos como eventos de keydown) na janela principal do editor, abrir a paleta de comandos acionando "Ctrl+Shift+P" e instalar uma extensão controlada pelo invasor que extrai o token GitHub OAuth enviado para GitHub.dev e consulta a API GitHub para enumerar todos os repositórios privados que a vÃtima pode acessar.
É importante notar que a abordagem também aproveita um recurso do VS Code chamado extensões de espaço de trabalho local que permite que uma extensão seja instalada diretamente sem apresentar qualquer prompt de diálogo de confiança adicional, desde que seja colocado na pasta ".vscode/extensions" dentro desse espaço de trabalho, ignorando efetivamente a verificação de confiança do editor.
“No entanto, este é apenas um pequeno problema, uma das coisas que as extensões podem fazer como parte de seu package.json é contribuir com atalhos de teclado extras para o VS Code”, explicou o pesquisador. "Como podemos acionar atalhos de teclado de maneira confiável, podemos simplesmente adicionar um atalho de teclado para qualquer comando do VS Code que desejarmos, como instalar uma extensão enquanto ignoramos a verificação do editor confiável."
O pesquisador também observou que o GitHub foi notificado sobre a vulnerabilidade em 2 de junho de 2026, uma hora após a qual os detalhes do problema se tornaram de conhecimento público, citando a maneira como a Microsoft lidou com bugs relacionados ao VS Code no passado. No momento em que este artigo foi escrito, a Microsoft reconheceu a vulnerabilidade e observou que está trabalhando em uma correção.
“Para esclarecer, este problema não afeta o VS Code Desktop”, disse Alexandru Dima, gerente de engenharia de software parceiro da Microsoft.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ataque #de #desenvolvimento #do #github #com #um #clique #permite #que #invasores #roubem #tokens #completos #do #github #oauth
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário