Исследователи в области кибербезопасности сообщили о новой уязвимости, связанной с Microsoft Visual Studio Code (VS Code), которая позволяет злоумышленникам похищать токены GitHub пользователей всего лишь одним кликом. По словам эксперта по безопасности Аммара Аскара, достаточно просто перейти по специальной ссылке, чтобы злоумышленник смог получить токен GitHub, который предоставляет доступ к чтению и записи в репозитории, включая приватные.

GitHub предлагает функцию GitHub.dev, которая работает в браузере и позволяет пользователям редактировать свои репозитории непосредственно в облаке. Однако эта функция также создает уязвимость, которую могут использовать злоумышленники для кражи учетных данных пользователей.

При активации атаки, после нажатия на ссылку, злоумышленник получает доступ к токену OAuth, который может быть использован для выполнения операций с репозиториями пользователя без его ведома. Это представляет серьезную угрозу для безопасности, так как злоумышленники могут не только украсть данные, но и вносить изменения в код.

Эксперт подчеркивает, что пользователи должны быть осторожны и избегать перехода по подозрительным ссылкам. Также рекомендуется регулярно проверять настройки безопасности своих аккаунтов на GitHub и отозвать токены, которые могли быть скомпрометированы.

Разработчики GitHub уже уведомлены о данной уязвимости и работают над ее устранением. Пользователям рекомендуется следить за обновлениями и соблюдать меры предосторожности, чтобы защитить свои данные и репозитории от потенциальных угроз.

Источник новости:
The Hacker News

Читать полностью