One-Click GitHub Dev Attack Lets Attackers Steal Full GitHub OAuth Tokens
Fonte: The Hacker News | Jurisdição: Internacional | Tipo: Notícia
Cybersecurity researchers have disclosed a one-click attack via Microsoft Visual Studio Code (VS Code) that makes it possible to steal a user’s GitHub token. “Just by clicking a link, it’s possible for an attacker to steal a GitHub token that can read and write to your repos, including private ones,” security researcher Ammar Askar said. GitHub supports a feature called GitHub.dev that runs as
Pesquisadores de cibersegurança divulgaram vulnerabilidade crítica em Microsoft Visual Studio Code (VS Code) que permite roubo de tokens GitHub através de ataque de um clique. A falha explora o recurso GitHub.dev, permitindo que atacantes obtenham tokens OAuth com permissões de leitura e escrita em repositórios, incluindo privados. O ataque requer apenas que a vítima clique em um link malicioso, representando risco significativo para desenvolvedores e organizações que utilizam a plataforma. A vulnerabilidade afeta a cadeia de autenticação e autorização, comprometendo a integridade de repositórios de código-fonte e dados sensíveis armazenados. Recomenda-se atualização imediata do VS Code e revogação de tokens comprometidos. Incidente demonstra importância de validação rigorosa de fluxos OAuth e implementação de proteções contra ataques de engenharia social em ambientes de desenvolvimento.
Fonte original: The Hacker News