Allarme Rosso su github.dev: Un Solo Clic Può Compromettere Tutti i Tuoi Repository

Ha dichiarato apertamente di non avere "nessun interesse" a interagire nuovamente con il processo dell'MSRC . Il bug precedente era stato inizialmente segnalato al programma HackerOne di GitHub, che gli comunicò esplicitamente che non rientrava nel loro perimetro e di rivolgersi all'MSRC: un rimbalzo burocratico tra colossi tech che lasciò la scoperta senza compenso né riconoscimento .

Come Funziona l'Attacco: Una Catena in Quattro Fasi

L'exploit orchestra in modo fluido tre vulnerabilità, creando una catena che aggira ogni barriera di sicurezza di github.dev.

1. Inoltro degli Eventi di Tastiera dalle Webview

Le webview di VS Code – i contenitori isolati (sandbox) che renderizzano Jupyter Notebook, anteprime Markdown e altri contenuti – sono progettate per essere compartimenti sicuri. Tuttavia, per permettere il funzionamento delle scorciatoie da tastiera al loro interno, l'editor inoltra gli eventi dei tasti dalla webview isolata al processo principale .

2. Iniezione di Tasti Sintetici

Un Jupyter Notebook malevolo, contenuto nel repository dell'attaccante, invia eventi di tastiera sintetici (Ctrl+Shift+A, Ctrl+F1) direttamente dalla webview sandboxata alla finestra principale di VS Code . Questi comandi simulati attivano silenziosamente la funzione "Installa Estensione", aggirando la finestra di dialogo che normalmente blocca l'installazione di estensioni non verificate .

3. Fiducia Implicita nelle Estensioni del Workspace Locale

Il repository dell'attaccante contiene un'estensione VS Code pre-confezionata all'interno di una cartella .vscode/extensions. Poiché github.dev considera le estensioni fornite insieme al workspace come implicitamente affidabili, l'estensione dannosa viene installata senza alcuna richiesta di autorizzazione all'utente .

4. Esfiltrazione del Token OAuth

Una volta in esecuzione, l'estensione malevola ottiene pieno accesso all'ambiente di runtime di github.dev. Questo ambiente custodisce un token OAuth di GitHub che github.com invia silenziosamente a github.dev tramite POST all'apertura di qualsiasi repository. Fondamentalmente, questo token non è limitato al repository corrente, ma concede all'attaccante gli stessi privilegi dell'utente su tutta la piattaforma . L'estensione estrae il token, interroga le API di GitHub per ottenere l'elenco dei repository privati della vittima ed esfiltra sia il token che i metadati verso l'attaccante .

Il risultato è un accesso completo in lettura e scrittura a ogni repository, pubblico o privato, accessibile alla vittima, ottenuto con un solo clic su un link .

La Risposta di Microsoft

Microsoft ha riconosciuto la vulnerabilità il 2 giugno 2026 e ha confermato di averla mitigata per i propri servizi, in particolare github.dev e VS Code for the Web .

Il 3 giugno, Microsoft ha implementato correzioni lato server, tra cui l'aggiunta di una richiesta di conferma della fiducia all'apertura di Notebook via browser e il blocco del comando di installazione delle estensioni, che ora non accetta più informazioni arbitrarie sul chiamante . Entro il 4 giugno, sono state implementate ulteriori restrizioni sulla gestione degli eventi delle webview .

Microsoft ha dichiarato che il problema non riguarda VS Code Desktop . Tuttavia, il meccanismo alla base – la fiducia nelle estensioni del workspace con verifica insufficiente – solleva preoccupazioni per qualsiasi utente di VS Code che possa aprire repository non verificati in locale.

Cosa Rende Questo Caso Diverso

Questa catena di exploit è notevole per tre ragioni.

In primo luogo, la superficie d'attacco è un URL. La vittima non deve scaricare file, aprire un terminale o approvare un permesso. L'unico prerequisito è cliccare un link nel browser verso github.dev.

In secondo luogo, la portata del token è allarmantemente ampia. Il token OAuth che github.com passa a github.dev non è limitato al repository visualizzato. Contiene tutti i permessi GitHub dell'utente, il che significa che un attaccante che compromette uno sviluppatore mentre lavora su un progetto open source ottiene le credenziali anche per i repository privati del suo datore di lavoro .

In terzo luogo, la fiducia nel workspace viene ribaltata. La funzionalità che rende fluido lo sviluppo locale – fidarsi delle estensioni fornite con un progetto – diventa il meccanismo stesso che concede l'esecuzione automatica al payload malevolo.

Agente AI OpenClaw: Cinque Nuove Falle Zero-Day

In una divulgazione parallela, i ricercatori hanno pubblicato cinque vulnerabilità zero-day nel framework per agenti AI OpenClaw che consentono agli attaccanti di impersonare utenti autorizzati e dirottare l'accesso agli agenti AI su diverse piattaforme di messaggistica .

La causa principale è di natura architetturale. OpenClaw supporta 15 diversi adattatori di canale – Telegram, Slack, Discord, WhatsApp, e altri ancora – e ciascun adattatore implementa in modo indipendente la propria logica di autorizzazione e verifica . I campi di identità critici per la sicurezza, utilizzati per compilare le liste autorizzate (allowlist), come i nomi visualizzati leggibili, sono modificabili a livello di piattaforma e vengono risolti in ID utente stabili in modo non uniforme tra i vari adattatori .

Poiché non esiste un livello centralizzato di applicazione delle politiche, un attaccante può:

• Impersonare un utente autorizzato su un canale semplicemente cambiando il proprio nome visualizzato per farlo corrispondere a un'identità autorizzata .
• Sfruttare la risoluzione inconsistente dell'identità tra le diverse estensioni di canale per aggirare i controlli di fiducia che funzionano su un canale ma falliscono su un altro .
• Dirottare i privilegi di accesso dell'agente AI – che spesso includono accesso alla shell, chiavi API e permessi sul filesystem – senza bisogno di credenziali valide .

Un'analisi di sicurezza pubblicata su arXiv il 3 giugno 2026 ha identificato vulnerabilità su più livelli architetturali, con il modello strutturale dominante che è l'applicazione della fiducia a livello di singolo componente e chiamata anziché attraverso confini di politica unificati . L'analisi ha rivelato come debolezze architetturali discrete possano combinarsi per creare percorsi completi di esecuzione di codice remoto senza autenticazione .

La Cyber Security Agency (CSA) di Singapore aveva già emesso un avviso alla fine di maggio 2026, mettendo in guardia sulle vulnerabilità senza patch, i controlli di accesso deboli e il rischio di "skill" di terze parti malevole sul marketplace ClawHub .