Vol de token GitHub en un clic via un bug VSCode
Original : 1-Click GitHub Token Stealing via a VSCode Bug
Pourquoi c'est important
Révèle des failles critiques dans l'isolation de sécurité des éditeurs modernes
Un chercheur en sécurité révèle une vulnérabilité dans VSCode permettant de voler des tokens GitHub OAuth avec accès complet aux dépôts privés via un simple clic sur un lien malveillant exploitant les webviews.
Ammar Askar démontre comment exploiter une faille dans le modèle de sécurité des webviews de VSCode pour voler des tokens GitHub. La vulnérabilité exploite github.dev, la version navigateur de VSCode qui reçoit un token OAuth non-scopé avec accès complet aux dépôts. Les webviews VSCode utilisent des iframes avec des origines différentes pour l'isolation, mais communiquent via window.postMessage(). L'attaque contourne cette protection en exploitant la gestion des messages cross-origin, permettant l'exfiltration du token d'authentification GitHub vers un serveur externe contrôlé par l'attaquant.