Исследователь безопасности Аммар Аскар раскрыл критическую уязвимость в Visual Studio Code 2 июня 2026 года, показав, что злоумышленники могут похитить OAuth-токены GitHub с помощью обманчиво простой атаки с одним кликом. Microsoft выпустила временное исправление уже на следующий день, 3 июня — такой срок реакции говорит сам за себя о том, насколько серьезно Редмонд отнесся к этой уязвимости.
Уязвимость направлена на GitHub.dev — веб-версию VS Code, которую миллионы разработчиков используют для редактирования кода непосредственно в браузерах. Злоумышленник, эксплуатирующий эту уязвимость, может получить доступ ко всем репозиториям, связанным с скомпрометированным токеном жертвы, включая частные.
Как работает атака
Уязвимость существует в системе веб-представлений VS Code — компоненте, отвечающем за отображение встроенного веб-контента внутри редактора. Веб-представления взаимодействуют с основным процессом VS Code через механизм передачи сообщений, и именно здесь становится интересно.
Цепочка атаки начинается с вредоносной ссылки, ведущей на рабочее пространство GitHub.dev. В этом рабочем пространстве находится Jupyter-блокнот, содержащий вредоносный JavaScript. Когда жертва открывает ссылку, код блокнота выполняется в контексте веб-просмотра.
Оттуда вредоносный скрипт имитирует события клавиатуры для программного взаимодействия с интерфейсом VS Code. Он использует модель доверия, которую GitHub.dev предоставляет содержимому рабочей области, обманывая редактор и заставляя его воспринимать код злоумышленника как легитимный пользовательский ввод.
Затем скрипт устанавливает вредоносное расширение из доверенного рабочего пространства. Это расширение тайно экспортирует OAuth-токен жертвы GitHub, не вызывая никаких видимых предупреждений. Вся последовательность требует только клика по одной ссылке.
Аскар опубликовал полный репозиторий с доказательством концепции вместе с раскрытием, предоставив командам безопасности информацию, необходимую для понимания и тестирования уязвимости.
Ответ Microsoft и более широкая закономерность
Патч Microsoft от 3 июня внедрил две ключевые меры защиты. Во-первых, он добавил запрос подтверждения при попытке пользователей открыть определённые типы файлов в GitHub.dev, прервав бесшовную цепочку из одного клика, которая делала атаку такой эффективной. Во-вторых, он заблокировал потенциально вредоносные команды расширений, от которых зависел эксплойт для тайной установки вредоносного кода.
Время этого раскрытия примечательно. За несколько недель до этого, 20 мая 2026 года, сам GitHub подвергся кибератаке, когда зараженное расширение VS Code скомпрометировало примерно 3 800 внутренних репозиториев.
Что это означает для разработчиков и организаций
Для индивидуальных разработчиков немедленное действие простое: убедитесь, что сеансы GitHub.dev обновлены последними исправлениями от Microsoft. Смените все OAuth-токены, которые могли быть раскрыты, особенно если вы недавно кликали на незнакомые ссылки на рабочие пространства GitHub.dev. Проверьте установленные расширения и удалите все, которыми вы не пользуетесь.
Командам безопасности следует провести аудит, какие сотрудники имеют доступ к GitHub.dev, и обладают ли их OAuth-токены более широкими разрешениями, чем необходимо. Принцип наименьших привилегий, при котором токены получают только минимально необходимый доступ, значительно ограничил бы ущерб от этой конкретной атаки.