Peneliti keamanan Ammar Askar mengungkapkan kerentanan kritis di Visual Studio Code pada 2 Juni 2026, menunjukkan bahwa penyerang dapat mencuri token OAuth GitHub melalui serangan satu klik yang tampak sederhana. Microsoft merilis perbaikan sementara pada hari berikutnya, 3 Juni, waktu respons yang menggambarkan seberapa serius Redmond menangani masalah ini.
Kelemahan ini menargetkan GitHub.dev, versi berbasis browser dari VS Code yang digunakan jutaan pengembang untuk mengedit kode langsung di browser mereka. Penyerang yang memanfaatkan kerentanan ini dapat memperoleh akses ke setiap repositori yang terkait dengan token korban yang dikompromikan, termasuk yang bersifat pribadi.
Bagaimana serangan bekerja
Kerentanan ini ada di sistem webview VS Code, komponen yang bertanggung jawab untuk merender konten web tertanam di dalam editor. Webview berkomunikasi dengan proses utama VS Code melalui mekanisme pengiriman pesan, dan di situlah hal-hal menjadi menarik.
Rantai serangan dimulai dengan tautan jahat yang menunjuk ke workspace GitHub.dev. Di dalam workspace tersebut terdapat notebook Jupyter yang ditanami JavaScript berbahaya. Ketika korban membuka tautan tersebut, kode notebook dieksekusi dalam konteks webview.
Dari sana, skrip jahat mensimulasikan event keyboard untuk berinteraksi dengan antarmuka VS Code secara programatik. Skrip ini memanfaatkan model kepercayaan yang diperluas GitHub.dev terhadap konten workspace, sehingga berhasil menipu editor agar memperlakukan kode penyerang sebagai input pengguna yang sah.
Skrip tersebut kemudian menginstal ekstensi berbahaya dari workspace tepercaya. Ekstensi itu secara diam-diam mengekstraksi token OAuth GitHub korban tanpa memicu peringatan apa pun yang terlihat. Seluruh rangkaian ini hanya memerlukan klik pada satu tautan.
Askar merilis repositori bukti-konsep publik penuh bersama dengan pengungkapan tersebut, memberikan informasi yang dibutuhkan tim keamanan untuk memahami dan menguji kerentanan tersebut.
Respons Microsoft dan pola yang lebih luas
Pembaruan Microsoft pada 3 Juni memperkenalkan dua langkah pengamanan utama. Pertama, ia menambahkan prompt konfirmasi saat pengguna mencoba membuka jenis file tertentu di dalam GitHub.dev, memutus rantai satu-klik yang membuat serangan ini sangat efektif. Kedua, ia memblokir perintah ekstensi berpotensi berbahaya yang menjadi andalan eksploit untuk menginstal kode jahat secara diam-diam.
Waktu pengungkapan ini patut diperhatikan. Beberapa minggu sebelumnya, pada 20 Mei 2026, GitHub sendiri mengalami pelanggaran keamanan ketika ekstensi VS Code yang diracuni mengompromikan sekitar 3.800 repositori internal.
Apa artinya ini bagi pengembang dan organisasi
Untuk pengembang individu, tindakan segera adalah sederhana: pastikan sesi GitHub.dev diperbarui dengan patch terbaru dari Microsoft. Ganti semua token OAuth yang mungkin terungkap, terutama jika Anda mengklik tautan tidak dikenal ke workspace GitHub.dev dalam beberapa minggu terakhir. Tinjau ekstensi yang terinstal dan hapus apa pun yang tidak Anda gunakan secara aktif.
Tim keamanan harus mengaudit siapa saja karyawan yang memiliki akses ke GitHub.dev dan apakah token OAuth mereka memiliki izin yang lebih luas dari yang diperlukan. Prinsip hak akses minimum, yaitu memberikan token hanya akses paling sedikit yang diperlukan, akan secara signifikan membatasi kerusakan dari serangan spesifik ini.