Schwachstelle in github.dev / VSCode Web ermöglicht den Diebstahl von GitHub-Tokens allein durch einen Link-Klick

Dieser Beitrag beschreibt eine Schwachstelle in github.dev / VSCode Web, durch die GitHub-Tokens allein durch einen Link-Klick gestohlen werden können. Wenn ein von einem Angreifer erstelltes GitHub-Repository mit einem Jupyter notebook in github.dev geöffnet wird, kann ein Bug in der Verarbeitung von Tastaturereignissen in VSCode Webview ausgenutzt werden, um eine bösartige VSCode-Erweiterung zu installieren. Diese Erweiterung kann dann das GitHub-API-Token des Nutzers auslesen und so Zugriffsrechte auf Repositories einschließlich privater Repos übernehmen.

Apps/Umgebungen, die man meiden sollte

1. github.dev-Links
Am gefährlichsten. github.dev/...-Links von unbekannten Absendern sollte man besser nicht anklicken.

2. vscode.dev / VSCode Web
Auch die im Browser laufende VSCode-Umgebung birgt ein ähnliches Risiko. Besonders vorsichtig sollte man sein, wenn im Web Notebooks, Markdown-Vorschau und die Installation von Erweiterungen zusammenkommen.

3. Öffnen unbekannter Repositories in der VSCode-Desktop-App
Laut dem Beitrag ist auch die Desktop-Version von VSCode betroffen. Vor allem wenn man ein unbekanntes Repo klont und öffnet und darin Notebook- oder Webview-Inhalte ausführt, kann das riskant sein.

4. Unbekannte Jupyter-Notebook-Dateien .ipynb
Das PoC in diesem Beitrag nutzt JavaScript innerhalb des Notebooks. .ipynb-Dateien aus unbekannter Quelle sollte man besser nicht öffnen.

5. Empfohlene/automatisch installierte VSCode-Erweiterungen
Man sollte bei Erweiterungsempfehlungen bzw. -installationen auf Basis von .vscode/extensions.json oder .vscode/extensions innerhalb eines Repositories vorsichtig sein. Vermeiden Sie Erweiterungen von unbekannten Publishern sowie lokale Workspace-Erweiterungen, die im Repository enthalten sind.

Was jetzt zu tun ist

Wenn Sie github.dev verwendet haben, löschen Sie im Browser unbedingt die Website-Daten/Cookies/Local Storage von github.dev. Öffnen Sie danach keine unbekannten github.dev-Links mehr. Wenn Sie sich den Inhalt unbedingt ansehen müssen, ist es sicherer, den Code nur über die GitHub-Webseite zu prüfen oder ein isoliertes Browser-Profil zu verwenden.