VS Code Zero-Day: Et enkelt klik kan stjæle dit GitHub OAuth-token

Han erklærede direkte, at han "ingen interesse" havde i at beskæftige sig med MSRC-processen igen . Den tidligere fejl blev først indrapporteret til GitHubs HackerOne-program, som udtrykkeligt meddelte ham, at den lå uden for programmets rammer, og at han skulle tage den til MSRC — en bureaukratisk kastebold, der efterlod fundet ukompenseret og uanerkendt .

Sådan fungerer angrebet: En kæde i fire trin

Exploit'et orkestrerer tre sårbarheder i en sømløs kæde, der omgår enhver sikkerhedsbarriere, github.dev har.

1. Videresendelse af tastaturhændelser fra webviews

VS Codes webviews — de isolerede sandkasser, der viser Jupyter Notebooks, Markdown-forhåndsvisninger og lignende indhold — er designet som sikre afdelinger. Men for at tastaturgenveje kan fungere inde i dem, videresender editoren tastehændelser fra det sandboxede webview til hovededitorens proces .

2. Injektion af syntetiske tastetryk

En skadelig Jupyter Notebook i angriberens repository udsender syntetiske tastaturhændelser (Ctrl+Shift+A, Ctrl+F1) direkte fra det sandboxede webview ind i VS Codes hovedvindue . Disse tastetryk udløser lydløst kommandoen "Installer udvidelse" og omgår den tillidsdialog, der normalt blokerer ubekræftede udvidelsesudgivere .

3. Tillid til udvidelser i lokalt arbejdsområde

Angriberens repository indeholder en præ-pakket VS Code-udvidelse gemt i en .vscode/extensions-mappe. Fordi github.dev behandler udvidelser, der følger med arbejdsområdet, som implicit betroede, installeres den ondsindede udvidelse uden nogen form for tilladelsesprompt til brugeren .

4. Eksfiltrering af OAuth-token

Når den kører, får den skadelige udvidelse fuld adgang til github.devs kørselsmiljø. Dette miljø indeholder et GitHub OAuth-token, som github.com lydløst sender (via POST) til github.dev, når et repository åbnes. Afgørende er det, at dette token ikke er begrænset ("scoped") til det aktuelt åbnede repository — det bærer brugerens fulde adgangsrettigheder . Udvidelsen udtrækker tokenet, forespørger på GitHubs API efter ofrets private repository-liste og sender både token og repository-metadata til angriberen .

Resultatet: Fuld læse- og skriveadgang til alle offentlige og private repositories, offeret kan tilgå — opnået med ét enkelt klik på et link .

Microsofts reaktion

Microsoft anerkendte sårbarheden den 2. juni 2026 og bekræftede, at den var blevet afhjulpet for deres tjenester — specifikt github.dev og VS Code for the Web .

Den 3. juni udrullede Microsoft server-side rettelser, herunder et trin til bekræftelse af tillid, når man åbner browserbaserede Notebooks, samt blokering af, at kommandoen til udvidelsesinstallation kan acceptere vilkårlig opkaldsinformation . Inden den 4. juni var der indført yderligere begrænsninger for håndtering af webview-hændelser .

Microsoft oplyste, at problemet ikke påvirker VS Code Desktop . Det underliggende mønster — at stole på arbejdsområde-udvidelser med utilstrækkelig verifikation — giver dog anledning til bekymring for enhver VS Code-bruger, der åbner utroværdige repositories lokalt.

Hvad gør dette exploit bemærkelsesværdigt?

Exploit-kæden er bemærkelsesværdig af tre grunde.

For det første er angrebsfladen en URL. Ofre downloader ikke en fil, åbner ikke en terminal og godkender ingen tilladelser. Et browserlink til github.dev er den eneste forudsætning.

For det andet er tokenets rækkevidde alarmerende bredt. Det OAuth-token, github.com videregiver til github.dev, er ikke begrænset til det repository, der vises. Det indeholder brugerens fulde GitHub-tilladelser, hvilket betyder, at en angriber, der kompromitterer en udvikler, som arbejder på et offentligt open source-projekt, også får adgang til denne udviklers arbejdsgivers private repositories .

For det tredje er tilliden til arbejdsområdet vendt på hovedet. Den funktion, der gør lokal udvikling smidig — at stole på udvidelser, der følger med et projekt — bliver selve mekanismen, der giver den ondsindede nyttelast automatisk eksekvering.

OpenClaw AI Agent: Fem zero-day sårbarheder til identitetsspoofing

I en parallel afsløring offentliggjorde forskere fem zero-day sårbarheder i OpenClaw AI-agent-frameworket, som tillader angribere at udgive sig for godkendte brugere og kapre adgangen til betroede AI-agenter på tværs af flere meddelelsesplatforme .

Årsagen er arkitektonisk: OpenClaw understøtter 15 forskellige kanaladaptere — Telegram, Slack, Discord, WhatsApp med flere — og hver adapter implementerer uafhængigt sin egen godkendelsesliste ("allowlist") og webhook-verifikation . De sikkerhedskritiske identitetsfelter, der bruges til godkendelseslisten, såsom menneskeligt læsbare visningsnavne, kan ændres på platformsniveau og bliver omsat til stabile bruger-ID'er inkonsekvent på tværs af adaptere .

Da der ikke findes noget centralt lag til håndhævelse af politikker, kan angribere:

• Udgiver sig for en godkendt bruger på én kanal ved blot at ændre deres visningsnavn, så det matcher en autoriseret identitet .
• Udnytte inkonsekvent identitetsopløsning på tværs af forskellige kanaludvidelser til at omgå tillidskontroller, der fungerer på én kanal, men fejler på en anden .
• Kapre AI-agentens adgangsrettigheder — som ofte omfatter shell-adgang, API-nøgler og filsystemtilladelser — uden at have brug for gyldige legitimationsoplysninger .

En sikkerhedsanalyse offentliggjort på arXiv den 3. juni 2026 identificerede sårbarheder på tværs af flere arkitektoniske lag (eksekveringspolitik, gateway, kanal, sandkasse, browser, plugin og prompt), hvor det dominerende strukturelle mønster var tillidshåndhævelse per lag, per kald-sted snarere end samlede politikgrænser . Analysen fandt, at diskrete arkitektoniske svagheder kan sammensættes til komplette veje til uautoriseret fjernudførelse af kode .

Singapores Cyber Security Agency (CSA) udsendte i slutningen af maj 2026 en advarsel om upatchede sårbarheder, svage adgangskontroller og risikoen for ondsindede tredjepartsfærdigheder ("skills") på ClawHub-markedet .