VSCode Bug Memungkinkan Pencurian Token GitHub dengan 1 Klik
Judul asli: 1-Click GitHub Token Stealing via a VSCode Bug
Mengapa Ini Penting
Menunjukkan risiko keamanan serius pada tool development populer yang dapat mengekspos kode pribadi
Peneliti keamanan menemukan celah di VSCode yang memungkinkan penyerang mencuri token GitHub dengan akses penuh ke repositori pribadi hanya dengan mengklik tautan. Bug ini memanfaatkan kelemahan pada webview security model VSCode.
Ammar Askar melaporkan kerentanan di VSCode yang memungkinkan pencurian token GitHub melalui github.dev. Ketika pengguna mengakses github.dev, GitHub mengirim token OAuth yang memberikan akses penuh ke semua repositori pengguna, bukan hanya repo spesifik. Bug ini memanfaatkan webview security model VSCode yang menggunakan iframe dengan origin berbeda (vscode-webview://) untuk isolasi keamanan. Meskipun desain ini melindungi aplikasi utama dari JavaScript berbahaya, celah dalam implementasinya memungkinkan penyerang mengekstrak token melalui Window.postMessage() API yang digunakan untuk komunikasi antar frame.