Auf den Punkt: Eine One-Click-Attacke auf VS Code ermöglicht es Angreifern, vollständige GitHub OAuth-Token mit Schreib- und Lesezugriff auf private Repositories zu stehlen.
Sicherheitsforscher haben eine One-Click-Attacke über Microsoft Visual Studio Code disclosed, die es Angreifern ermöglicht, GitHub OAuth-Token mit Lese- und Schreibzugriff zu stehlen. Die Attacke funktioniert über GitHub.dev und setzt nur einen Klick auf einen präparierten Link voraus.
Der Sicherheitsforscher Ammar Askar hat eine kritische Schwachstelle in der Integration von GitHub.dev in VS Code nachgewiesen. Durch einen einfachen Klick auf einen manipulierten Link kann ein Angreifer das GitHub OAuth-Token eines Entwicklers kapern — einschließlich Zugriffsdaten für private Repositories.
Die Attacke nutzt GitHub.dev, ein webbasiertes Entwicklungsumfeld, das direkt im Browser läuft und mit GitHub-Authentifizierung arbeitet. Über die Integration in VS Code kann ein präparierter Link dazu führen, dass das Token an den Angreifer übermittelt wird, ohne dass der Nutzer dies bemerkt.
Für CISOs bedeutet dies ein unmittelbar handhabbares Risiko: Ein gestohlenes GitHub-Token mit Schreib- und Lesezugriff erlaubt es Angreifern, Code in private Repositories einzuschleusen, Secrets auszulesen oder Supply-Chain-Angriffe durchzuführen. Die Schwachstelle zeigt, wie OAuth-Flows in Developer-Tools anfällig für Social Engineering sein können und unterstreicht die Notwendigkeit für technische Maßnahmen wie Token-Rotation, granulare Permissions und die Überwachung von GitHub-Token-Nutzung.
Quelle: thehackernews.com · Erschienen 3. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.