VS Code Zero-Day: Ein Klick – und Ihre GitHub-Repositories sind in fremder Hand

Er erklärte unmissverständlich, er habe "kein Interesse" daran, sich noch einmal mit dem MSRC-Prozess auseinanderzusetzen . Der frühere Bug wurde zunächst an GitHubs HackerOne-Programm gemeldet, das ihm jedoch explizit mitteilte, dieser falle nicht in ihren Zuständigkeitsbereich und er solle sich an das MSRC wenden – eine bürokratische Weiterleitung, die dazu führte, dass der Fund weder vergütet noch öffentlich anerkannt wurde .

So funktioniert der Angriff: Eine vierstufige Kette

Der Exploit verknüpft drei Schwachstellen zu einer nahtlosen Kette, die jede Sicherheitsbarriere von github.dev aushebelt.

1. Weiterleitung von Tastaturereignissen aus Webviews

VS Codes Webviews – die isolierten Sandboxen zur Darstellung von Jupyter Notebooks, Markdown-Vorschauen und ähnlichen Inhalten – sind als sichere Abteilungen konzipiert. Damit Tastaturkürzel aber innerhalb dieser Sandbox funktionieren, leitet der Editor Tastenereignisse aus der isolierten Webview in den Haupteditor weiter .

2. Einschleusen synthetischer Tastenanschläge

Ein bösartiges Jupyter Notebook innerhalb des Angreifer-Repositories sendet synthetische Tastaturereignisse (Strg+Umschalt+A, Strg+F1) aus der sandboxed Webview direkt an das VS Code-Hauptfenster . Diese Tastenanschläge lösen unmerklich den Befehl "Erweiterung installieren" aus und umgehen die Vertrauensabfrage für die Herausgeber-Überprüfung, die normalerweise nicht vertrauenswürdige Erweiterungen blockiert .

3. Lokale Workspace-Erweiterungen als Vertrauenssprung

Das Repository des Angreifers enthält eine fertig gepackte VS Code-Erweiterung im Ordner .vscode/extensions. Da github.dev Erweiterungen, die direkt mit dem Workspace ausgeliefert werden, als implizit vertrauenswürdig behandelt, installiert sich die bösartige Erweiterung völlig ohne Zustimmungsdialog .

4. Exfiltration des OAuth-Tokens

Ist die Schad-Erweiterung aktiv, erhält sie vollen Zugriff auf die Laufzeitumgebung von github.dev. In dieser Umgebung liegt ein GitHub-OAuth-Token, den github.com beim Öffnen eines beliebigen Repositories stillschweigend per POST an github.dev sendet. Die entscheidende Schwäche: Dieser Token ist nicht auf das aktuell geöffnete Repository beschränkt, sondern besitzt die vollen Zugriffsrechte des Nutzers . Die Erweiterung extrahiert den Token, fragt über die GitHub-API die Liste der privaten Repositories des Opfers ab und exfiltriert beides – Token und Metadaten – an den Angreifer .

Das Ergebnis: Voller Lese- und Schreibzugriff auf jedes öffentliche und private Repository, das das Opfer erreichen kann – möglich gemacht durch einen einzigen Link-Klick .

Microsofts Antwort

Microsoft bestätigte die Schwachstelle am 2. Juni 2026 und gab an, sie sei für die eigenen Dienste entschärft worden – konkret für github.dev und VS Code for the Web .

Am 3. Juni spielte Microsoft serverseitige Korrekturen ein, darunter eine obligatorische Vertrauensbestätigung beim Öffnen browserbasierter Notebooks sowie das Blockieren beliebiger Aufruferdaten beim Befehl zur Erweiterungsinstallation . Bis zum 4. Juni folgten zusätzliche Beschränkungen für die Ereignisbehandlung in Webviews .

Microsoft erklärte, das Problem betreffe nicht die Desktop-Version von VS Code . Das zugrundeliegende Muster – Workspace-Erweiterungen ohne hinreichende Prüfung zu vertrauen – gibt dennoch Anlass zur Sorge für jeden VS Code-Nutzer, der lokal nicht vertrauenswürdige Repositories öffnet.

Was diesen Fall besonders macht

Diese Exploit-Kette ist aus drei Gründen bemerkenswert.

Erstens: Die Angriffsfläche ist eine URL. Die Opfer müssen keine Dateien herunterladen, kein Terminal öffnen und keine Berechtigung erteilen. Ein Browser-Link zu github.dev ist die einzige Voraussetzung.

Zweitens: Der Token-Geltungsbereich ist verstörend breit. Der OAuth-Token, den github.com an github.dev übergibt, ist nicht auf das angesehene Repository beschränkt. Er trägt die vollen GitHub-Berechtigungen des Nutzers. Ein Angreifer, der einen Entwickler eines öffentlichen Open-Source-Projekts kompromittiert, verschafft sich damit auch Zugang zu den privaten Firmen-Repositories von dessen Arbeitgeber .

Drittens: Das Workspace-Vertrauen funktioniert hier umgekehrt. Die Funktion, die die lokale Entwicklung komfortabel machen soll – das Vertrauen gegenüber mitgelieferten Projekterweiterungen – wird zum genauen Mechanismus, der die automatische Ausführung der Schadsoftware gewährt.

OpenClaw KI-Agent: Fünf Zero-Day-Schwachstellen zur Identitätstäuschung

In einer parallel veröffentlichten Meldung deckten Forscher fünf Zero-Day-Schwachstellen im OpenClaw KI-Agenten-Framework auf, die es Angreifern ermöglichen, als freigeschaltete Nutzer aufzutreten und den Zugang vertrauenswürdiger KI-Agenten über mehrere Messaging-Plattformen hinweg zu kapern .

Die Ursache ist ein architektonisches Problem: OpenClaw unterstützt 15 verschiedene Kanaladapter – Telegram, Slack, Discord, WhatsApp und viele mehr – und jeder Adapter implementiert eigenständig seine eigene Freigabelisten-Prüfung und Webhook-Verifikation . Die sicherheitskritischen Identitätsfelder, die für die Freigabe verwendet werden, wie etwa die für den Menschen lesbaren Anzeigenamen, sind auf Plattformebene veränderbar und werden uneinheitlich in stabile Nutzer-IDs umgewandelt .

Da es keine zentrale Durchsetzungsebene für Richtlinien gibt, können Angreifer:

• Auf einem Kanal einen freigeschalteten Nutzer imitieren, indem sie einfach ihren Anzeigenamen angleichen .
• Inkonsistente Identitätsauflösungen über verschiedene Kanalerweiterungen hinweg ausnutzen, um Vertrauensprüfungen zu umgehen, die auf dem einen Kanal greifen, auf dem anderen aber fehlschlagen .
• Die Zugriffsprivilegien des KI-Agenten kapern – oft gehören dazu Shell-Zugriff, API-Keys und Dateisystemrechte – ohne gültige Anmeldedaten zu benötigen .

Eine am 3. Juni 2026 auf arXiv veröffentlichte Sicherheitsanalyse identifizierte Schwachstellen über mehrere Architekturebenen hinweg (Ausführungsrichtlinie, Gateway, Kanal, Sandbox, Browser, Plugin und Prompt), wobei das strukturelle Hauptmuster die Vertrauenserzwingung pro Ebene und pro Aufrufort ist – nicht etwa eine übergreifende Richtliniengrenze . Die Analyse zeigte, dass sich diskrete Architekturschwächen zu einem vollständigen, nicht authentifizierten Remote-Code-Execution-Pfad zusammensetzen können .

Bereits Ende Mai 2026 gab die Cybersecurity Agency (CSA) von Singapur eine Warnung vor ungepatchten Schwachstellen, schwachen Zugangskontrollen und dem Risiko bösartiger Drittanbieter-Erweiterungen auf dem ClawHub-Marktplatz heraus .