Ipinahayag ng security researcher na si Ammar Askar ang isang mahalagang vulnerability sa Visual Studio Code noong Hunyo 2, 2026, na nagpapakita na ang mga attacker ay maaaring manakwil ng GitHub OAuth tokens sa pamamagitan ng isang nagkakatawang simpleng one-click attack. Ipinadala ng Microsoft ang isang pansamantalang solusyon sa susunod na araw, noong Hunyo 3, isang turnaround time na nagpapaliwanag ng lahat tungkol sa seriedad kung paano tinanggap ng Redmond ito.
Ang kahinaan ay tumutok sa GitHub.dev, ang browser-based na bersyon ng VS Code na ginagamit ng milyun-milyon na developer upang i-edit ang code diretso sa kanilang browser. Maaaring makakuha ng access ang isang attacker na nagpapakita ng vulnerability na ito sa lahat ng repository na kaugnay ng napapalitan na token ng biktima, kabilang ang mga private.
Paano gumagana ang pag-atake
Ang vulnerability ay nasa webview system ng VS Code, ang komponenteng responsable sa pag-render ng embedded web content sa loob ng editor. Nagkakomunikasyon ang webviews sa pangunahing proseso ng VS Code sa pamamagitan ng isang mekanismo ng pagpapadala ng mensahe, at doon nagsisimula ang interesante.
Ang serye ng pag-atake ay nagsisimula sa isang masamang link na nagdudugtong sa isang GitHub.dev workspace. Sa loob ng workspace na iyon ay nasa isang Jupyter notebook na may nakapaloob na mapanganib na JavaScript. Kapag buksan ng biktima ang link, ang code ng notebook ay magpapatakbo sa loob ng webview context.
Mula roon, ang masasamang script ay nagpapalabas ng mga keyboard event upang makipag-ugnayan sa interface ng VS Code nang programa. Ito ay naglalayong pagsamantalahan ang modelo ng tiwala na ibinibigay ng GitHub.dev sa mga laman ng workspace, na epektibong nagpapakita sa editor na ang code ng attacker ay legal na user input.
Pagkatapos ay i-install ng script ang isang masamang extension mula sa tiyak na workspace. Ang extension na ito ay tahimik na iniiwan ang GitHub OAuth token ng biktima nang hindi nagpapakita ng anumang visible na babala. Ang buong serye ay nangangailangan lamang ng pag-click sa isang iisang link.
Ipinakalabas ni Askar ang isang buong public proof-of-concept repository kasama ang pagpapahayag, nagbibigay sa mga security team ng impormasyon na kailangan nila upang maunawaan at subukan ang vulnerability.
Sagot ng Microsoft at ang mas malawak na pattern
Ang patch ni Microsoft noong June 3 ay nagdagdag ng dalawang pangunahing pagprotekta. Una, idinagdag nito ang prompt ng pagkumpirma kapag sinubukan ng mga gumagamit na buksan ang ilang uri ng file sa loob ng GitHub.dev, na nagpapabreak sa walang hanggang isang-click na serye na nagawa ang pag-atake. Pangalawa, binloke nito ang mga potensyal na nakakasakit na command ng extension na ginamit ng exploit upang i-install ang masasamang code nang tahimik.
Ang panahon ng paglalabas na ito ay nakakatangi. Ilang linggo na lamang ang nakalipas, noong Mayo 20, 2026, nasiraan ng seguridad ang GitHub mismo nang ang isang pinolusyang VS Code extension ay nagsira sa halos 3,800 mga internal na repository.
Ano ang ibig sabihin nito para sa mga developer at mga organisasyon
Para sa mga indibidwal na developer, ang agad na aksyon ay simpleng: siguraduhin na isina-update ang mga sesyon ng GitHub.dev sa pinakabagong mga patch ng Microsoft. I-rotate ang anumang OAuth tokens na maaaring nakalantad, lalo na kung nag-click ka ng mga hindi pamilyar na link patungo sa mga workspace ng GitHub.dev sa nakaraang ilang linggo. I-review ang iyong mga installed extension at tanggalin ang anumang hindi mo aktibong ginagamit.
Dapat suriin ng mga team sa seguridad kung sino sa mga empleyado ang may akses sa GitHub.dev at kung ang kanilang OAuth tokens ay may mas malawak na pahintulot kaysa kailangan. Ang prinsipyo ng pinakamaliit na pahintulot, na nagbibigay ng minimum na akses lamang sa mga token, ay makakapaglimita nang malaki sa pinsalang dulot ng partikular na pag-atake na ito.