VMTech
+381 11 4183 54024/7 Discuss a project
← All Instagram insights VMTECH · INSTAGRAM

GitHub.dev: one click can steal a full OAuth token

GitHub.dev: один клик позволяет похитить полный OAuth‑токен

GitHub.dev: jedan klik omogućava krađu potpunog OAuth-tokena

Kolege, želim da skrenem pažnju iz domene kibersigurnosti: u GitHub.dev je otkrivena ranjivost koja omogućava krađu OAuth-tokena jednim klikom.

Istraživač Ammar Askar je pokazao kako zlonamerni webview u veb-verziji VS Code simulira kliktanja, otvara paletu komandi i instalira lokalno proširenje koje izdvaja token prosleđen github.dev. Token nije ograničen na repozitorijum i daje pristup svim repozitorijumima, uključujući privatne.

GitHub je obavešten 2. juna, Microsoft je potvrdio problem; VS Code Desktop nije pogođen.

Zašto je važno: kompromitovani tokeni daju pristup kodu i CI — rizik za napade na lanac snabdevanja. Preporučujem da ažurirate Vašu okolinu, uklonite sumnjive ekstenzije i rotirate tokene.

Kako Vi planirate da reagujete na ovu pretnju?
#kibersigurnost #GitHub #VSCode #OAuth

Current metrics
4Views
2Reach
0Likes
0Comments
0Saved
0Shares

Latest comments

No comments yet.

Instagram

GitHub.dev: one click can steal a full OAuth token

Open the post on Instagram ↗