Bagaimana Satu Klik di GitHub.dev Bisa Mencuri Token OAuth GitHub Anda—Peneliti Ammar Askar Bongkar Semua

Ia menyatakan dengan terus terang "tidak tertarik" untuk berurusan dengan proses MSRC lagi . Bug sebelumnya itu awalnya dilaporkan ke program HackerOne milik GitHub, yang secara eksplisit mengatakan bahwa itu di luar cakupan mereka dan menyuruhnya membawanya ke MSRC — sebuah operan birokratis yang membuat temuannya tidak diganjar kompensasi dan tidak diakui .

Cara Kerja Serangan: Empat Tahap Rantai Mematikan

Eksploitasi ini merangkai tiga kerentanan menjadi satu rantai mulus yang melewati setiap batas keamanan yang dimiliki github.dev.

1. Penerusan Event Keyboard Webview

Webview di VS Code — sandbox terisolasi yang merender Jupyter Notebook, pratinjau Markdown, dan konten serupa — dirancang sebagai kompartemen yang aman. Namun agar pintasan (shortcut) keyboard tetap berfungsi di dalamnya, editor meneruskan key event dari webview yang ter-sandbox ke proses editor utama .

2. Injeksi Ketukan Sintetis

Sebuah Jupyter Notebook berbahaya di dalam repositori penyerang mengirimkan keyboard event sintetis (misalnya, Ctrl+Shift+A, Ctrl+F1) dari webview yang ter-sandbox langsung ke jendela utama VS Code . Ketukan ini secara diam-diam memicu perintah "Install Extension" dan melewati dialog kepercayaan verifikasi penerbit yang biasanya memblokir ekstensi tidak tepercaya .

3. Kepercayaan Ekstensi Ruang Kerja Lokal

Repositori penyerang berisi ekstensi VS Code pra-paket yang disimpan di folder .vscode/extensions. Karena github.dev memperlakukan ekstensi yang disertakan bersama ruang kerja sebagai tepercaya secara implisit, ekstensi berbahaya itu terinstal tanpa permintaan izin pengguna sama sekali .

4. Eksfiltrasi Token OAuth

Setelah berjalan, ekstensi nakal ini mendapatkan akses penuh ke lingkungan runtime github.dev. Lingkungan itu menyimpan token OAuth GitHub yang dikirimkan secara diam-diam oleh github.com melalui POST ke github.dev saat repositori apa pun dibuka. Yang kritis, token ini tidak dibatasi cakupannya hanya untuk repositori yang sedang dibuka — token ini membawa hak akses penuh pengguna . Ekstensi itu mengekstrak token, meminta daftar repositori privat korban dari GitHub API, dan mengeksfiltrasi token serta metadata repositori ke penyerang .

Hasilnya: akses baca dan tulis lengkap ke setiap repositori publik dan privat yang bisa dijangkau korban, hanya dengan satu klik tautan .

Respons Microsoft

Microsoft mengakui kerentanan ini pada 2 Juni 2026 dan mengonfirmasi bahwa celah tersebut telah dimitigasi untuk layanannya — khususnya github.dev dan VS Code for the Web .

Pada 3 Juni, Microsoft meluncurkan perbaikan sisi server, termasuk menambahkan langkah konfirmasi kepercayaan saat membuka Notebook berbasis browser, dan memblokir perintah instalasi ekstensi agar tidak menerima informasi pemanggil yang sembarangan . Pada 4 Juni, pembatasan penanganan event webview lebih lanjut diterapkan .

Microsoft menyatakan bahwa masalah ini tidak memengaruhi VS Code Desktop . Namun, pola yang mendasarinya — memercayai ekstensi ruang kerja dengan verifikasi yang tidak memadai — tetap menimbulkan kekhawatiran bagi setiap pengguna VS Code yang membuka repositori tidak tepercaya secara lokal.

Apa yang Membuat Kasus Ini Berbeda

Rantai eksploitasi ini luar biasa karena tiga alasan.

Pertama, permukaan serangannya adalah URL. Korban tidak perlu mengunduh file, membuka terminal, atau menyetujui izin. Tautan browser ke github.dev adalah satu-satunya prasyarat.

Kedua, cakupan token yang sangat luas. Token OAuth yang diteruskan github.com ke github.dev tidak terbatas pada repositori yang sedang dilihat. Token ini membawa izin penuh GitHub milik pengguna, artinya penyerang yang mengkompromikan pengembang yang mengerjakan proyek open-source publik juga mendapatkan kredensial untuk repositori privat perusahaan tempat pengembang itu bekerja .

Ketiga, kepercayaan ruang kerja yang terbalik. Fitur yang membuat pengembangan lokal lancar — memercayai ekstensi yang disertakan bersama proyek — justru menjadi mekanisme yang memberikan eksekusi otomatis pada muatan berbahaya.

Agen AI OpenClaw: Lima Celah Zero-Day Pemalsuan Identitas

Dalam pengungkapan paralel, para peneliti mempublikasikan lima kerentanan zero-day di kerangka kerja agen AI OpenClaw yang memungkinkan penyerang menyamar sebagai pengguna yang masuk daftar izin (allowlist) dan membajak akses agen AI tepercaya di berbagai platform perpesanan .

Akar masalahnya bersifat arsitektural: OpenClaw mendukung 15 adaptor kanal berbeda — Telegram, Slack, Discord, WhatsApp, dan lainnya — dan setiap adaptor secara independen mengimplementasikan otorisasi allowlist dan verifikasi webhook-nya sendiri . Bidang identitas yang penting untuk keamanan yang digunakan untuk allowlist, seperti nama tampilan yang bisa dibaca manusia, dapat diubah di tingkat platform dan tidak diselesaikan secara konsisten menjadi ID pengguna yang stabil di berbagai adaptor .

Karena tidak ada lapisan kebijakan terpusat, penyerang dapat:

• Menyamar sebagai pengguna allowlist di satu kanal hanya dengan mengubah nama tampilan mereka agar cocok dengan identitas yang terotorisasi .
• Mengeksploitasi resolusi identitas yang tidak konsisten di ekstensi kanal yang berbeda untuk melewati pemeriksaan kepercayaan yang berfungsi di satu kanal tetapi gagal di kanal lain .
• Membajak hak akses agen AI — yang sering kali mencakup akses shell, kunci API, dan izin sistem file — tanpa memerlukan kredensial yang valid .

Sebuah analisis keamanan arXiv tertanggal 3 Juni 2026 mengidentifikasi kerentanan di berbagai lapisan arsitektur (kebijakan eksekusi, gateway, kanal, sandbox, browser, plugin, dan prompt), dengan pola struktural dominan berupa penegakan kepercayaan per lapisan, per titik panggilan alih-alih batas kebijakan yang terpadu . Analisis tersebut menemukan bahwa kelemahan arsitektur yang terpisah-pisah dapat tersusun menjadi jalur eksekusi kode jarak jauh tanpa autentikasi yang lengkap .

Badan Keamanan Siber Singapura (CSA) mengeluarkan imbauan pada akhir Mei 2026 yang memperingatkan tentang kerentanan yang belum ditambal, kontrol akses yang lemah, dan risiko keterampilan pihak ketiga yang berbahaya di pasar ClawHub .