VS Code Zero-Day: Eén Klik en Je GitHub Account is Gehackt

Askar verklaarde ronduit "geen zin" te hebben om zich opnieuw met het MSRC-proces bezig te houden . De eerdere bug was eerst gemeld bij GitHub's HackerOne-programma, dat hem expliciet vertelde dat de melding buiten hun bereik viel en dat hij naar Microsoft moest stappen. Deze bureaucratische doorverwijzing leverde hem geen enkele vergoeding of erkenning op .

Hoe de Aanval Werkt: Een Vierstaps Aanvalsketen

De aanval combineert drie kwetsbaarheden tot een naadloze keten die elke beveiligingsbarrière van github.dev omzeilt. De setting is technisch, maar het gevolg voor jou als gebruiker is zeer concreet.

1. Het Doorsturen van Toetsenbordaanslagen vanuit Webviews

De webviews van VS Code—de geïsoleerde sandbox-omgevingen die onder andere Jupyter Notebooks en Markdown-voorbeelden weergeven—zijn ontworpen als veilige compartimenten. Om sneltoetsen erin te laten werken, stuurt de editor toetsenbordaanslagen echter door vanuit de afgeschermde webview naar het hoofdprogramma van de editor. Dit is op zichzelf geen bug, maar een functioneel kenmerk .

2. Het Injecteren van Nep-Toetsaanslagen

Een kwaadaardige Jupyter Notebook in de repository van de aanvaller simuleert toetsenbordaanslagen (zoals Ctrl+Shift+A en Ctrl+F1), die vanuit de webview rechtstreeks naar het hoofdvenster van VS Code worden gestuurd . Deze toetscombinaties starten geruisloos de opdracht "Extensie installeren" en omzeilen daarbij het venster dat normaal de identiteit van de uitgever verifieert en onbetrouwbare extensies blokkeert .

3. Het Vertrouwen in Lokale Werkruimte-Extensies

De repository van de aanvaller bevat een voorverpakte VS Code-extensie in een verborgen .vscode/extensions map. Omdat github.dev extensies die meereizen met de werkruimte zelf impliciet vertrouwt, wordt de kwaadaardige extensie geïnstalleerd zonder dat de gebruiker daar toestemming voor hoeft te geven of er zelfs maar iets van merkt .

4. Het Buitmaken van de OAuth-Token

Zodra de extensie actief is, krijgt deze volledige toegang tot de runtime-omgeving van github.dev. Daarin bevindt zich een GitHub OAuth-token dat github.com stilletjes naar github.dev stuurt wanneer je een repository opent. Het cruciale probleem is dat deze token niet beperkt is tot de repository die je bekijkt. Hij omvat je volledige toegangsrechten, dus ook die voor privéprojecten van jezelf of je werkgever . De extensie onderschept de token, vraagt bij de GitHub API de lijst met jouw privérepositories op, en stuurt zowel de token als de metadata door naar de aanvaller .

Het resultaat: volledige lees- en schrijftoegang tot elke openbare en privé repository waartoe jij bevoegd bent. En dat allemaal met één klik op een link .

De Reactie van Microsoft

Microsoft erkende de kwetsbaarheid op 2 juni 2026 en bevestigde dat deze gemitigeerd was voor de eigen diensten—specifiek voor github.dev en VS Code for the Web . Op 3 juni rolde Microsoft servermatige oplossingen uit, waaronder een extra vertrouwensstap bij het openen van browsergebaseerde Notebooks en het blokkeren van de opdracht voor het installeren van extensies wanneer deze willekeurige afzenderinformatie accepteert . Op 4 juni werden er nog extra beperkingen voor het doorsturen van webview-gebeurtenissen toegevoegd .

Microsoft verklaarde dat het probleem geen invloed heeft op de desktopversie van VS Code . Het achterliggende patroon—het vertrouwen in werkruimte-extensies zonder voldoende controle—roept echter vragen op voor elke VS Code-gebruiker die lokaal onbetrouwbare repositories opent.

Waarom Deze Aanval Zo Anders Is

De aanvalsketen is om drie redenen opmerkelijk.

Ten eerste is het aanvalsoppervlak een URL. Slachtoffers downloaden geen bestand, openen geen terminal en keuren geen permissie goed. Een link in de browser naar github.dev is de enige voorwaarde.

Ten tweede is de reikwijdte van de token alarmerend breed. De OAuth-token die github.com doorgeeft is niet gelimiteerd tot de repository die je bekijkt. Dit betekent dat een aanvaller die een ontwikkelaar van een open-sourceproject compromitteert, ook de inloggegevens bemachtigt voor de privérepositories van diens werkgever .

Ten derde is het vertrouwen in de werkruimte omgekeerd. De functie die de lokale ontwikkelervaring soepel maakt—het automatisch vertrouwen van extensies die bij een project zitten—wordt nu juist het mechanisme dat de kwaadaardige code blindelings activeert.

OpenClaw AI Agent: Vijf Zero-Days voor Identiteitsfraude

In een parallelle onthulling rapporteerden onderzoekers vijf zero-day kwetsbaarheden in het OpenClaw AI-agent framework. Deze stellen aanvallers in staat zich voor te doen als een gebruiker die op een whitelist staat en zo de toegang tot vertrouwde AI-agents te kapen op meerdere berichtenplatformen .

De oorzaak is een structureel ontwerpprobleem: OpenClaw ondersteunt 15 verschillende kanaaladapters—Telegram, Slack, Discord, WhatsApp en meer—en elke adapter implementeert zijn eigen whitelist-autorisatie en webhook-verificatie onafhankelijk van elkaar . De beveiligingskritieke identiteitsvelden die voor de whitelist worden gebruikt, zoals een voor mensen leesbare schermnaam, zijn op het platform zelf aanpasbaar en worden niet consistent omgezet naar stabiele gebruikers-ID's .

Doordat er geen centrale handhavingslaag is, kunnen aanvallers:

• Zich op één kanaal voordoen als een gebruiker op de whitelist door simpelweg hun schermnaam te veranderen in die van een geautoriseerd persoon .
• Inconsistente identiteitscontroles tussen kanalen misbruiken om vertrouwenschecks te omzeilen die op het ene kanaal wel werken, maar op het andere falen .
• De toegangsrechten van de AI-agent kapen—vaak inclusief shell-toegang, API-sleutels en bestandssysteemrechten—zonder dat ze geldige inloggegevens nodig hebben .

Een op 3 juni 2026 gepubliceerde arXiv-beveiligingsanalyse identificeerde kwetsbaarheden in meerdere architectuurlagen (uitvoerbeleid, gateway, kanaal, sandbox, browser, plugin en prompt). Het dominante patroon is vertrouwenshandhaving per laag en per aanroep, in plaats van een eenduidige beleidsgrens. Hierdoor kunnen afzonderlijke, op zichzelf staande zwakheden worden gecombineerd tot een pad voor volledige, ongeauthenticeerde uitvoering van externe code op afstand .

De Cyber Security Agency (CSA) van Singapore bracht eind mei 2026 een waarschuwing uit over de ongepatchte kwetsbaarheden, zwakke toegangscontroles en het risico van kwaadaardige vaardigheden van derden op de ClawHub-marktplaats .