Vulnerabilidad en github.dev / VSCode Web que permite robar tokens de GitHub con solo hacer clic en un enlace
(blog.ammaraskar.com)Este artículo explica una vulnerabilidad en github.dev / VSCode Web que permite robar tokens de GitHub con solo hacer clic en un enlace. Si un atacante logra que abras en github.dev un Jupyter notebook creado dentro de un repositorio de GitHub malicioso, puede aprovechar un bug en el manejo de eventos de teclado de VSCode Webview para instalar una extensión maliciosa de VSCode, y esa extensión puede leer el token de la API de GitHub del usuario y secuestrar permisos de acceso a repositorios, incluidos los repos privados.
Apps/entornos que conviene evitar
1. Enlaces de github.dev
Es lo más riesgoso. Lo mejor es no hacer clic en enlaces github.dev/... enviados por personas desconocidas.
2. vscode.dev / VSCode Web
El entorno de VSCode que corre en el navegador también tiene riesgos de la misma familia. Hay que tener especial cuidado cuando se combinan notebooks, vista previa de Markdown e instalación de extensiones en la web.
3. Abrir repositorios desconocidos en la app de escritorio de VSCode
Se explica que el VSCode de escritorio también está afectado. En particular, clonar y abrir un repo desconocido, y luego ejecutar su notebook o contenido webview, puede ser peligroso.
4. Archivos .ipynb de Jupyter Notebook desconocidos
El PoC de este artículo usa JavaScript dentro del notebook. Es mejor no abrir archivos .ipynb de origen desconocido.
5. Extensiones de VSCode recomendadas o instaladas automáticamente
Hay que tener cuidado con las recomendaciones e instalaciones basadas en .vscode/extensions.json o .vscode/extensions dentro del repositorio. Evita extensiones de publishers desconocidos y extensiones locales de workspace incluidas en el repositorio.
Qué hacer ahora mismo
Si usaste github.dev, elimina en tu navegador los datos del sitio / cookies / local storage de github.dev. Después, no abras enlaces desconocidos de github.dev; si necesitas revisarlos, es más seguro ver solo el código desde la página web de GitHub o usar un perfil de navegador aislado.
Aún no hay comentarios.