Lỗ hổng Zero-Day VS Code: Chỉ Một Cú Nhấp Chuột Đã Đánh Cắp Token GitHub Của Bạn

Askar tuyên bố thẳng thắn rằng anh "không còn hứng thú" với việc phải làm việc với quy trình của MSRC một lần nào nữa . Lỗ hổng trước đó ban đầu được anh báo cáo lên chương trình HackerOne của GitHub, nhưng họ đã từ chối với lý do nó nằm ngoài phạm vi và khuyên anh nên báo cáo lên MSRC – một màn đùn đẩy trách nhiệm khiến phát hiện của anh không được đền đáp xứng đáng .

Giải Phẫu Một Cú Nhấp Chuột Chết Người: Chuỗi Tấn Công 4 Bước

Mã khai thác này đã khéo léo kết hợp ba lỗ hổng kỹ thuật thành một chuỗi liên hoàn, vượt qua mọi ranh giới bảo mật của github.dev.

1. Webview Chuyển Tiếp Sự Kiện Bàn Phím

Các 'webview' trong VS Code là những hộp cát độc lập, được cách ly để hiển thị các nội dung như Jupyter Notebook hay bản xem trước Markdown. Để giúp các phím tắt vẫn hoạt động được bên trong các webview này, trình soạn thảo sẽ chuyển tiếp các sự kiện bàn phím từ webview bị sandbox sang tiến trình chính của editor .

2. Tiêm Lệnh Bàn Phím 'Ma'

Kho lưu trữ độc hại chứa một tệp Jupyter Notebook đã được thiết kế đặc biệt. Khi nạn nhân mở nó, notebook này sẽ gửi các sự kiện bàn phím giả mạo (như Ctrl+Shift+A, Ctrl+F1) từ môi trường sandbox thẳng vào cửa sổ chính của VS Code . Những tổ hợp phím này âm thầm kích hoạt lệnh "Install Extension" và vượt qua hộp thoại xác nhận độ tin cậy của nhà phát hành .

3. Lòng Tin Mặc Định với Tiện Ích Cục Bộ

Trong kho lưu trữ của kẻ tấn công đã có sẵn một tiện ích mở rộng (extension) đóng gói sẵn, đặt trong thư mục .vscode/extensions. Do github.dev mặc định tin tưởng các extension đi kèm với không gian làm việc, tiện ích độc hại này sẽ tự động được cài đặt mà không hiển thị bất kỳ yêu cầu cấp quyền nào .

4. Chiếm Đoạt Token OAuth và Thâm Nhập Dữ Liệu

Sau khi chạy thành công, extension 'giả mạo' này có toàn quyền truy cập vào môi trường chạy của github.dev. Môi trường này đang nắm giữ một token OAuth của GitHub – được github.com âm thầm gửi sang github.dev mỗi khi bạn mở bất kỳ kho lưu trữ nào. Điểm chí mạng là token này không bị giới hạn phạm vi chỉ trong kho bạn đang xem; nó mang theo toàn bộ đặc quyền truy cập của bạn . Tiện ích mở rộng sẽ trích xuất token, truy vấn GitHub API để lấy danh sách các kho riêng tư của nạn nhân, và gửi cả token lẫn siêu dữ liệu này về cho kẻ tấn công .

Kết quả là, chỉ với một cú nhấp chuột, kẻ xấu có toàn quyền "vào nhà bạn mà thăm nom mọi ngóc ngách" - đọc, chỉnh sửa, thậm chí đánh cắp toàn bộ mã nguồn trong tất cả các kho lưu trữ công khai và riêng tư của bạn .

Phản Ứng Của Microsoft Và Những Nỗi Lo Còn Sót Lại

Microsoft đã nhanh chóng xác nhận lỗ hổng vào ngày 2 tháng 6 năm 2026, và cho biết đã giảm thiểu rủi ro cho các dịch vụ của họ, cụ thể là github.dev và VS Code for the Web .

Ngày 3 tháng 6, họ triển khai các bản vá phía máy chủ, bao gồm việc thêm bước yêu cầu xác nhận khi mở các Notebook trên trình duyệt, và chặn không cho lệnh cài đặt extension chấp nhận thông tin người gọi tùy ý . Đến ngày 4 tháng 6, các hạn chế bổ sung trong việc xử lý sự kiện của webview cũng được áp đặt .

Microsoft khẳng định vấn đề không ảnh hưởng đến ứng dụng VS Code Desktop . Tuy nhiên, bản chất của lỗ hổng này - tin tưởng các tiện ích mở rộng trong không gian làm việc với sự xác minh không đầy đủ - vẫn là một lời cảnh tỉnh cho bất kỳ ai có thói quen mở các kho lưu trữ không đáng tin cậy trên máy tính cá nhân.

Ngoài lỗ hổng VS Code, một công bố song song đã tiết lộ năm lỗ hổng zero-day trong nền tảng tác nhân AI OpenClaw, cho phép kẻ tấn công mạo danh những người dùng đáng tin cậy và chiếm quyền truy cập vào các tác nhân AI trên nhiều nền tảng nhắn tin .

Nguyên nhân gốc rễ là vấn đề kiến trúc: OpenClaw hỗ trợ 15 bộ điều hợp kênh khác nhau - từ Telegram, Slack, Discord cho đến WhatsApp - và mỗi bộ điều hợp lại tự triển khai riêng việc ủy quyền danh sách cho phép (allowlist) và xác minh webhook . Các trường định danh quan trọng được dùng cho allowlist, chẳng hạn như tên hiển thị mà con người có thể đọc, lại có thể bị thay đổi ở cấp nền tảng, và việc ánh xạ chúng sang ID người dùng ổn định diễn ra không nhất quán giữa các bộ điều hợp .

Do thiếu một lớp thực thi chính sách tập trung duy nhất, kẻ tấn công có thể:

• Mạo danh người dùng trong danh sách cho phép trên một kênh chỉ bằng cách đổi tên hiển thị của chúng thành tên hợp lệ .
• Lợi dụng sự không nhất quán trong việc xác minh định danh giữa các kênh để qua mặt các bước kiểm tra, tạo ra những lỗ hổng "kênh này chặn, kênh kia lọt" .
• Chiếm quyền truy cập của tác nhân AI – vốn thường bao gồm quyền truy cập shell, khóa API và hệ thống tệp – mà không cần bất kỳ thông tin xác thực hợp lệ nào .

Một phân tích bảo mật trên arXiv vào tháng 6 năm 2026 đã chỉ ra các lỗ hổng trải dài trên nhiều lớp kiến trúc, với vấn đề cốt lõi là việc thực thi lòng tin được thực hiện một cách rời rạc ở từng lớp thay vì có một ranh giới chính sách thống nhất . Cơ quan An ninh mạng Singapore (CSA) cũng đã đưa ra cảnh báo về những rủi ro này vào cuối tháng 5 năm 2026 .