Уязвимость нулевого дня в VS Code: как один клик крадет ваш GitHub OAuth-токен

Исследователь прямо заявил, что у него «нет никакого желания» снова связываться с процессом MSRC . Та ранее найденная ошибка изначально была направлена в программу HackerOne на GitHub, где ему явно ответили, что область уязвимости находится вне их компетенции, и перенаправили обратно в MSRC — бюрократическая переадресация, которая оставила находку без вознаграждения и без признания .

Как работает атака: цепочка из четырёх этапов

Эксплойт объединяет три уязвимости в бесшовную цепочку, которая обходит все существующие на github.dev границы безопасности.

1. Проброс событий клавиатуры из Webview

Webview в VS Code — это изолированные «песочницы», в которых отображаются Jupyter Notebook, предпросмотр Markdown и подобный контент. Они спроектированы как защищённые отсеки. Но чтобы внутри них работали горячие клавиши, редактор пробрасывает события клавиатуры из изолированного webview в основной процесс редактора .

2. Инжекция синтетических нажатий клавиш

Вредоносный Jupyter Notebook внутри репозитория злоумышленника генерирует синтетические события клавиатуры (Ctrl+Shift+A, Ctrl+F1) из sandbox-окружения webview прямо в главное окно VS Code . Эти нажатия незаметно вызывают команду «Установить расширение» и обходят проверку издателя в диалоге доверия, который обычно должен блокировать установку непроверенных расширений .

3. Неявное доверие к расширениям локального рабочего пространства

Репозиторий злоумышленника содержит предварительно упакованное расширение VS Code, размещённое в папке .vscode/extensions. Поскольку github.dev рассматривает расширения, поставляемые вместе с рабочей областью, как неявно доверенные, вредоносное расширение устанавливается без какого-либо запроса на подтверждение от пользователя .

4. Извлечение OAuth-токена

После запуска расширение получает полный доступ к среде выполнения github.dev. Эта среда содержит GitHub OAuth-токен, который github.com автоматически отправляет на github.dev при открытии любого репозитория. Критически важно то, что этот токен не ограничивается текущим открытым репозиторием — он обладает полными правами доступа пользователя . Расширение извлекает токен, запрашивает через GitHub API список приватных репозиториев жертвы и передаёт похищенный токен вместе с метаданными репозиториев злоумышленнику .

В результате: полный доступ на чтение и запись ко всем публичным и приватным репозиториям, к которым имеет доступ жертва, достигнутый одним кликом по ссылке .

Реакция Microsoft

Microsoft подтвердила наличие уязвимости 2 июня 2026 года и заявила, что проблема уже устранена для её сервисов — а именно github.dev и VS Code for the Web .

3 июня Microsoft выпустила серверные исправления, включающие в себя дополнительный шаг подтверждения доверия при открытии браузерных Notebook и блокировку приёма командой установки расширений произвольной информации о вызывающей стороне . К 4 июня были внедрены дополнительные ограничения на обработку событий в webview .

Microsoft указала, что проблема не затрагивает десктопную версию VS Code . Однако лежащий в основе паттерн — доверие к расширениям рабочей области без достаточной проверки — вызывает опасения для любого пользователя VS Code, открывающего на локальной машине репозитории из ненадёжных источников.

Что делает эту уязвимость особенной

Цепочка эксплойта примечательна по трём причинам.

Во-первых, поверхностью атаки является URL. Жертве не нужно загружать файл, открывать терминал или подтверждать какие-либо разрешения. Единственное необходимое условие — переход по ссылке браузера на github.dev.

Во-вторых, область действия токена пугающе широка. OAuth-токен, который github.com передаёт на github.dev, не ограничивается просматриваемым репозиторием. Он несёт в себе полные права пользователя на GitHub. Это значит, что злоумышленник, скомпрометировавший разработчика, работающего над публичным open-source проектом, также получает доступ к приватным репозиториям его работодателя .

В-третьих, извращено само понятие «доверенного рабочего пространства». Функция, которая делает локальную разработку удобной — доверие к расширениям, идущим в комплекте с проектом, — становится тем самым механизмом, который обеспечивает автоматический запуск вредоносной нагрузки.

Агент ИИ OpenClaw: пять уязвимостей нулевого дня с подделкой личности

Параллельно с этим исследователи раскрыли пять уязвимостей нулевого дня во фреймворке ИИ-агентов OpenClaw, позволяющих злоумышленникам выдавать себя за доверенных пользователей и перехватывать доступ к агентам на множестве мессенджеров .

Корень проблемы — архитектурный. OpenClaw поддерживает 15 различных адаптеров для каналов связи (Telegram, Slack, Discord, WhatsApp и другие), и каждый адаптер независимо реализует собственную авторизацию на основе белых списков и проверку веб-хуков . Критически важные для безопасности поля идентификации, используемые для включения в белый список (например, читаемые отображаемые имена), изменяемы на уровне платформы и неоднородно преобразуются в стабильные идентификаторы пользователей в разных адаптерах .

Из-за отсутствия централизованного уровня принудительного применения политик злоумышленник может:

• Выдать себя за пользователя из белого списка в одном из каналов, просто изменив своё отображаемое имя на имя авторизованного пользователя .
• Использовать несогласованное разрешение идентификаторов в разных расширениях для обхода проверок доверия, которые работают на одном канале, но не на другом .
• Захватить привилегии доступа ИИ-агента, которые часто включают в себя доступ к командной оболочке (shell), API-ключам и права доступа к файловой системе, без каких-либо действительных учётных данных .

Опубликованный 3 июня 2026 года анализ безопасности от arXiv выявил уязвимости на нескольких архитектурных слоях (политика выполнения, шлюз, канал, песочница, браузер, плагин, промпт), где доминирующим структурным паттерном является применение политик доверия на каждом слое и в каждой точке вызова, а не в виде единых границ политик . Анализ показал, что разрозненные архитектурные слабости объединяются в полноценные пути неаутентифицированного удалённого выполнения кода .

Агентство кибербезопасности Сингапура (CSA) выпустило в конце мая 2026 года предупреждение об неисправленных уязвимостях, слабых механизмах контроля доступа и рисках, связанных с вредоносными сторонними навыками на маркетплейсе ClawHub .