Lỗ hổng trên github.dev / VSCode Web cho phép đánh cắp token GitHub chỉ bằng một cú nhấp vào liên kết

Bài viết này giải thích lỗ hổng trên github.dev / VSCode Web cho phép đánh cắp token GitHub chỉ bằng một cú nhấp vào liên kết. Nếu kẻ tấn công khiến người dùng mở Jupyter notebook trong kho lưu trữ GitHub do chúng tạo bằng github.dev, chúng có thể lợi dụng lỗi xử lý sự kiện bàn phím của VSCode Webview để cài một tiện ích mở rộng VSCode độc hại, rồi tiện ích đó đọc token GitHub API của người dùng và chiếm quyền truy cập kho lưu trữ, bao gồm cả private repo.

Ứng dụng/môi trường cần tránh

1. Liên kết github.dev
Đây là trường hợp nguy hiểm nhất. Tốt nhất không nên nhấp vào liên kết github.dev/... do người lạ gửi.

2. vscode.dev / VSCode Web
Môi trường VSCode chạy trong trình duyệt cũng có rủi ro cùng loại. Đặc biệt cần cẩn trọng khi notebook, xem trước Markdown và cài tiện ích mở rộng trên web kết hợp với nhau.

3. Mở kho lưu trữ lạ trong ứng dụng VSCode desktop
Bài viết cho biết VSCode desktop cũng bị ảnh hưởng. Đặc biệt nếu clone rồi mở một repo lạ, và chạy notebook hoặc nội dung webview bên trong đó, thì có thể gặp rủi ro.

4. File Jupyter Notebook .ipynb không rõ nguồn gốc
PoC trong bài viết này sử dụng JavaScript bên trong notebook. Tốt nhất không nên mở file .ipynb không rõ nguồn gốc.

5. Tiện ích mở rộng VSCode được đề xuất/tự động cài đặt
Cần cẩn thận với việc đề xuất hoặc cài tiện ích mở rộng dựa trên .vscode/extensions.json hoặc .vscode/extensions trong kho lưu trữ. Hãy tránh các tiện ích từ publisher không quen thuộc và local workspace extension đi kèm trong repo.

Việc cần làm ngay

Nếu bạn từng dùng github.dev, hãy xóa dữ liệu trang/cookie/local storage của github.dev trong trình duyệt. Sau đó, đừng mở các liên kết github.dev không rõ nguồn gốc; nếu buộc phải xem, sẽ an toàn hơn nếu chỉ kiểm tra mã trên trang web GitHub hoặc dùng hồ sơ trình duyệt cách ly.