Zero Day VS Code: Bagaimana Satu Klik Boleh Curi Token GitHub OAuth Anda

Punca Hilang Kepercayaan di Sebalik Pendedahan

Keputusan Askar untuk mendedahkan zero-day tanpa berkoordinasi melalui Pusat Tindak Balas Keselamatan Microsoft (MSRC) adalah disengajakan . Beliau memberitahu seorang kenalan lama di GitHub dan mengeluarkan PoC hanya sejam kemudian . Puncanya: kerentanan VS Code sebelumnya yang dilaporkannya telah ditampal secara senyap oleh Microsoft tanpa memberi kredit kepadanya .

Beliau menyatakan dengan jelas bahawa dia "tiada minat" untuk berurusan dengan proses MSRC lagi . Pepijat yang lebih awal itu pada mulanya dilaporkan kepada program HackerOne GitHub, yang secara eksplisit memberitahunya ia di luar skop dan memintanya untuk membawanya ke MSRC — satu serahan birokrasi yang menyebabkan penemuan itu tidak mendapat pampasan dan tidak diakui .

Bagaimana Serangan Berfungsi: Rantaian Empat Peringkat

Eksploit ini menggabungkan tiga kerentanan menjadi satu rantaian lancar yang memintas setiap sempadan keselamatan yang ada pada github.dev.

1. Pemajuan Acara Papan Kekunci Webview

Webview VS Code — kotak pasir terpencil yang memaparkan Notebook Jupyter, pratonton Markdown, dan kandungan serupa — direka untuk menjadi kompartmen yang selamat. Tetapi untuk membolehkan pintasan papan kekunci berfungsi di dalamnya, editor memajukan acara kunci dari webview dalam kotak pasir ke proses editor utama .

2. Suntikan Ketukan Kekunci Sintetik

Notebook Jupyter jahat di dalam repositori penyerang menghantar acara papan kekunci sintetik (Ctrl+Shift+A, Ctrl+F1) dari webview yang diasingkan terus ke dalam tetingkap utama VS Code . Ketukan kekunci ini secara senyap mencetuskan arahan "Pasang Sambungan" dan memintas dialog kepercayaan pengesahan penerbit yang biasanya menyekat sambungan yang tidak dipercayai .

3. Kepercayaan Sambungan Ruang Kerja Setempat

Repositori penyerang mengandungi sambungan VS Code pra-paket yang disimpan dalam folder .vscode/extensions. Oleh kerana github.dev menganggap sambungan yang dihantar bersama ruang kerja sebagai dipercayai secara tersirat, sambungan jahat itu dipasang tanpa sebarang permintaan kebenaran pengguna langsung . Ini serupa seperti menerima tetamu yang tidak dikenali ke rumah anda hanya kerana dia berdiri di luar pintu bersama rakan yang anda kenali.

4. Eksfiltrasi Token OAuth

Setelah berjalan, sambungan jahat itu mendapat akses penuh ke persekitaran masa jalan github.dev. Persekitaran itu memegang satu token OAuth GitHub yang dihantar secara senyap oleh github.com melalui kaedah POST kepada github.dev apabila sebarang repositori dibuka. Apa yang kritikal, token ini tidak diskopkan kepada repositori yang sedang dibuka sahaja — ia membawa keistimewaan akses penuh pengguna . Sambungan itu mengekstrak token, menanyakan API GitHub untuk senarai repositori peribadi mangsa, dan mengeksfiltrasi kedua-dua token serta metadata repositori kepada penyerang .

Hasilnya: akses baca dan tulis sepenuhnya ke setiap repositori awam dan peribadi yang boleh dicapai oleh mangsa, dicapai hanya dengan satu klik pautan .

Tindak Balas Microsoft

Microsoft mengakui kerentanan itu pada 2 Jun 2026, dan mengesahkan ia telah dimitigasi untuk perkhidmatannya — khususnya github.dev dan VS Code untuk Web .

Pada 3 Jun, Microsoft melancarkan pembetulan di bahagian pelayan termasuk langkah pengesahan kepercayaan apabila membuka Notebook berasaskan pelayar, dan menyekat arahan pemasangan sambungan daripada menerima maklumat pemanggil yang sembarangan . Menjelang 4 Jun, sekatan tambahan pengendalian acara webview telah digunakan .

Microsoft menyatakan isu ini tidak menjejaskan VS Code Desktop . Walau bagaimanapun, corak asas — mempercayai sambungan ruang kerja dengan pengesahan yang tidak mencukupi — menimbulkan kebimbangan bagi mana-mana pengguna VS Code yang membuka repositori tidak dipercayai secara setempat.

Apa yang Membuatkan Ini Berbeza

Rantaian eksploit ini luar biasa kerana tiga sebab.

Pertama, permukaan serangan adalah URL. Mangsa tidak memuat turun fail, membuka terminal, atau meluluskan kebenaran. Satu pautan pelayar ke github.dev adalah satu-satunya prasyarat .

Kedua, skop token adalah sangat luas. Token OAuth yang dihantar oleh github.com kepada github.dev tidak terhad kepada repositori yang sedang dilihat. Ia membawa keizinan penuh GitHub pengguna, bermakna penyerang yang mengkompromi seorang pembangun yang bekerja pada projek sumber terbuka awam juga mendapat kelayakan untuk repositori peribadi majikan pembangun tersebut .

Ketiga, kepercayaan ruang kerja diterbalikkan. Ciri yang menjadikan pembangunan setempat lancar — mempercayai sambungan yang dihantar bersama projek — menjadi mekanisme yang memberikan muatan jahat pelaksanaan automatik.

Ejen AI OpenClaw: Lima Kelemahan Penipuan Identiti Zero-Day

Dalam satu pendedahan selari, penyelidik menerbitkan lima kerentanan zero-day dalam rangka kerja ejen AI OpenClaw yang membolehkan penyerang menyamar sebagai pengguna yang disenarai putih dan merampas akses ejen AI yang dipercayai merentasi pelbagai platform pemesejan .

Punca utamanya adalah seni bina: OpenClaw menyokong 15 penyesuai saluran yang berbeza — Telegram, Slack, Discord, WhatsApp, dan banyak lagi — dan setiap penyesuai secara bebas melaksanakan autorisasi senarai putih dan pengesahan webhooknya sendiri . Medan identiti kritikal keselamatan yang digunakan untuk penyenaraian putih, seperti nama paparan yang boleh dibaca manusia, boleh diubah di peringkat platform dan diselesaikan kepada ID pengguna yang stabil secara tidak konsisten merentasi penyesuai .

Oleh kerana tiada lapisan penguatkuasaan polisi berpusat, penyerang boleh:

• Menyamar sebagai pengguna yang disenarai putih pada satu saluran dengan hanya menukar nama paparan mereka untuk sepadan dengan identiti yang dibenarkan .
• Mengeksploitasi penyelesaian identiti yang tidak konsisten merentasi sambungan saluran yang berbeza untuk memintas pemeriksaan kepercayaan yang berfungsi pada satu saluran tetapi gagal pada saluran lain .
• Merampas keistimewaan akses ejen AI — yang sering merangkumi akses shell, kunci API, dan keizinan sistem fail — tanpa memerlukan sebarang kelayakan yang sah .

Analisis keselamatan arXiv pada 3 Jun 2026 mengenal pasti kerentanan merentasi pelbagai lapisan seni bina (polisi pelaksanaan, get laluan, saluran, kotak pasir, pelayar, plugin, dan prom), dengan corak struktur dominan adalah penguatkuasaan kepercayaan per-lapisan, per-tapak-panggilan berbanding sempadan polisi bersatu . Analisis mendapati bahawa kelemahan seni bina yang diskret boleh bergabung menjadi laluan penuh pelaksanaan kod jarak jauh tanpa pengesahan .

Agensi Keselamatan Siber Singapura (CSA) mengeluarkan nasihat pada akhir Mei 2026 memberi amaran tentang kerentanan yang tidak ditampal, kawalan akses yang lemah, dan risiko kemahiran pihak ketiga yang berniat jahat di pasaran ClawHub .