Дослідник безпеки Аммар Аскар розкрив критичну вразливість у Visual Studio Code 2 червня 2026 року, показавши, що зловмисники можуть викрасти OAuth-токени GitHub за допомогою обманливо простого атаки з одним кліком. Microsoft випустила тимчасовий виправлення вже наступного дня, 3 червня — такий час реакції говорить сам за себе про те, наскільки серйозно Редмонд ставився до цієї проблеми.
Цей недолік спрямований на GitHub.dev — веб-версію VS Code, якою мільйони розробників використовують для редагування коду безпосередньо у своїх браузерах. Зловмисник, який експлуатує цю вразливість, може отримати доступ до кожного репозиторію, пов’язаного зі скомпрометованим токеном жертви, включаючи приватні.
Як працює атака
Уразливість існує в системі webview VS Code — компоненті, відповідальному за відображення вбудованого веб-контенту всередині редактора. Webviews взаємодіють з основним процесом VS Code за допомогою механізму передачі повідомлень, і саме тут стає цікаво.
Ланцюжок атаки починається з зловмисного посилання, що веде до робочого середовища GitHub.dev. У цьому робочому середовищі розташований Jupyter-блокнот, заповнений шкідливим JavaScript. Коли жертва відкриває посилання, код блокноту виконується в контексті веб-переглядача.
Звідти зловмисний сценарій симулює події клавіатури для програмного взаємодії з інтерфейсом VS Code. Він використовує модель довіри, яку GitHub.dev поширює на вміст робочого середовища, ефективно обманюючи редактор, щоб він сприймав код атакувача як легітимний ввід користувача.
Скрипт потім встановлює шкідливий розширення з відомого робочого середовища. Це розширення тихо експортуює OAuth-токен жертви з GitHub, не викликаючи жодних видимих попереджень. Вся послідовність вимагає лише кліку на один посилання.
Аскар опублікував повний відкритий репозиторій з доказом концепції разом із повідомленням, надавши командам безпеки інформацію, необхідну для розуміння та тестування вразливості.
Відповідь Microsoft і загальна закономірність
Випуск оновлень Microsoft від 3 червня ввів дві ключові захисні заходи. По-перше, він додав запит на підтвердження при спробі відкрити певні типи файлів у GitHub.dev, що перервало безперервний ланцюжок з одного кліку, який робив атаку такою ефективною. По-друге, він заблокував потенційно шкідливі команди розширення, на які спиралася експлуатація для тихого встановлення шкідливого коду.
Термін цього розголошення є помітним. За кілька тижнів до цього, 20 травня 2026 року, GitHub сам зазнав порушення безпеки, коли отруєне розширення VS Code скомпрометувало приблизно 3 800 внутрішніх репозиторіїв.
Що це означає для розробників та організацій
Для окремих розробників негайна дія проста: переконайтесь, що сесії GitHub.dev оновлені останніми виправленнями від Microsoft. Змініть будь-які OAuth-токени, які могли бути витікнені, особливо якщо ви клікали на незнайомі посилання на робочі простори GitHub.dev у останні тижні. Перевірте встановлені розширення та видаліть усе, чим ви не користуєтесь активно.
Команди безпеки повинні перевірити, які співробітники мають доступ до GitHub.dev, і чи мають їхні OAuth-токени ширші дозволи, ніж необхідно. Принцип мінімальних привілеїв, коли токени отримують лише мінімально необхідний доступ, значно обмежив би шкоду від цієї конкретної атаки.