VS Code経由でGitHubの認証トークン窃取が可能な脆弱性が発見

概要

Microsoft Visual Studio Code（VS Code）の機能「GitHub.dev」を悪用した攻撃が発見されました。攻撃者がリンクをクリックさせるだけで、ユーザーのGitHubの認証トークン（OAuth トークン）を盗み取ることができます。 【何が起きたか】悪意のあるVS Code拡張機能をインストールさせ、GitHub.devに送信される認証トークンを窃取する手口です。メッセージング機能の脆弱性を悪用し、untrustedなwebview内で不正なJavaScriptを実行。Ctrl+Shift+Pで「コマンドパレット」を開き、攻撃者が用意した拡張機能をインストールさせます。 【影響範囲】盗まれたトークンは特定リポジトリに制限されず、ユーザーがアクセス可能なすべてのリポジトリ（プライベートを含む）への読み書きが可能です。攻撃者は被害者がアクセスできるプライベートリポジトリをすべて列挙できます。 【対策】2026年6月2日にマイクロソフトへ報告され、詳細が公開されています。Microsoftは脆弱性を認識しており、修正対応が進められていますが、詳細な対策内容は未発表です。

元記事（The Hacker News）