VSCode verzögert Erweiterungs-Updates automatisch um zwei Stunden nach Veröffentlichung, um die Ausbreitungszeit von kompromittierten Versionen zu minimieren.
Eine in Rust geschriebene Malware kompromittiert NPM-Pakete, stiehlt Entwickler-Credentials und nutzt diese zur Ausbreitung in der Software-Lieferkette.
Eine One-Click-Attacke auf VS Code ermöglicht es Angreifern, vollständige GitHub OAuth-Token mit Schreib- und Lesezugriff auf private Repositories zu stehlen.
Angreifer nutzten ein scheinbar legitimes npm-Paket mit 27.000 wöchentlichen Downloads, um Refresh-Token zu stehlen, die unbegrenzten Zugriff auf Konten ermöglichen.
