El investigador de seguridad Ammar Askar reveló una vulnerabilidad crítica en Visual Studio Code el 2 de junio de 2026, mostrando que los atacantes podían robar tokens OAuth de GitHub mediante un ataque de un solo clic aparentemente sencillo. Microsoft lanzó una solución temporal al día siguiente, el 3 de junio, un tiempo de respuesta que lo dice todo sobre lo seriamente que Redmond tomó este caso.
La vulnerabilidad afecta a GitHub.dev, la versión basada en navegador de VS Code que millones de desarrolladores utilizan para editar código directamente en sus navegadores. Un atacante que explote esta vulnerabilidad podría obtener acceso a todos los repositorios asociados al token comprometido de la víctima, incluidos los privados.
Cómo funciona el ataque
La vulnerabilidad se encuentra en el sistema de webview de VS Code, el componente responsable de renderizar contenido web incrustado dentro del editor. Los webviews se comunican con el proceso principal de VS Code a través de un mecanismo de intercambio de mensajes, y ahí es donde las cosas se vuelven interesantes.
La cadena de ataque comienza con un enlace malicioso que apunta a un espacio de trabajo de GitHub.dev. Dentro de ese espacio se encuentra un cuaderno Jupyter con JavaScript dañino incrustado. Cuando la víctima abre el enlace, el código del cuaderno se ejecuta dentro del contexto de la vista web.
Desde allí, el script malicioso simula eventos de teclado para interactuar con la interfaz de VS Code de forma programática. Aprovecha el modelo de confianza que GitHub.dev extiende al contenido del espacio de trabajo, engañando efectivamente al editor para que trate el código del atacante como entrada legítima del usuario.
Luego, el script instala una extensión maliciosa desde el espacio de trabajo confiable. Esa extensión exfiltra silenciosamente el token OAuth del usuario de GitHub sin activar ninguna advertencia visible. La secuencia completa requiere solo hacer clic en un solo enlace.
Askar lanzó un repositorio completo de prueba de concepto público junto con la divulgación, proporcionando a los equipos de seguridad la información necesaria para comprender y probar la vulnerabilidad.
La respuesta de Microsoft y el patrón más amplio
El parche de junio de Microsoft introdujo dos salvaguardias clave. Primero, añadió un mensaje de confirmación cuando los usuarios intentan abrir ciertos tipos de archivos dentro de GitHub.dev, interrumpiendo la cadena de un solo clic que hizo tan efectivo el ataque. Segundo, bloqueó comandos de extensión potencialmente dañinos que el exploit utilizaba para instalar código malicioso en silencio.
La programación de esta divulgación es notable. Solo semanas antes, el 20 de mayo de 2026, GitHub sufrió una brecha de seguridad cuando una extensión de VS Code envenenada comprometió aproximadamente 3,800 repositorios internos.
Qué significa esto para desarrolladores y organizaciones
Para desarrolladores individuales, la acción inmediata es sencilla: asegúrese de que las sesiones de GitHub.dev estén actualizadas con los últimos parches de Microsoft. Gire cualquier token OAuth que pueda haberse expuesto, especialmente si ha hecho clic en enlaces desconocidos a espacios de trabajo de GitHub.dev en las últimas semanas. Revise sus extensiones instaladas y elimine cualquier una que no utilice activamente.
Los equipos de seguridad deben auditar qué empleados tienen acceso a GitHub.dev y si sus tokens OAuth tienen permisos más amplios de lo necesario. El principio de mínimo privilegio, otorgando a los tokens solo el acceso mínimo requerido, habría limitado significativamente el daño causado por este ataque específico.