Vulnérabilité dans github.dev / VSCode Web permettant de voler un token GitHub par un simple clic sur un lien

Cet article décrit une vulnérabilité dans github.dev / VSCode Web permettant de voler un token GitHub par un simple clic sur un lien. Si un attaquant parvient à faire ouvrir dans github.dev un Jupyter notebook d’un dépôt GitHub qu’il a créé, il peut exploiter un bug de gestion des événements clavier dans la Webview de VSCode pour installer une extension VSCode malveillante ; cette extension peut ensuite lire le token d’API GitHub de l’utilisateur et dérober les droits d’accès aux dépôts, y compris aux dépôts privés.

Applications / environnements à éviter

1. Liens github.dev
C’est le cas le plus risqué. Mieux vaut ne pas cliquer sur un lien github.dev/... envoyé par quelqu’un que vous ne connaissez pas.

2. vscode.dev / VSCode Web
L’environnement VSCode exécuté dans le navigateur présente le même type de risque. Il faut être particulièrement vigilant quand notebooks, aperçu Markdown et installation d’extensions s’entremêlent sur le web.

3. Ouvrir un dépôt inconnu dans l’application de bureau VSCode
L’article explique que VSCode Desktop est également concerné. En particulier, cloner puis ouvrir un repo inconnu, puis exécuter son notebook ou son contenu webview, peut être dangereux.

4. Fichiers Jupyter Notebook .ipynb inconnus
La preuve de concept de l’article utilise du JavaScript dans le notebook. Il vaut donc mieux ne pas ouvrir de fichiers .ipynb dont la provenance est inconnue.

5. Extensions VSCode recommandées / installées automatiquement
Il faut se méfier des recommandations et installations d’extensions basées sur .vscode/extensions.json ou .vscode/extensions dans le dépôt. Évitez les extensions d’éditeurs inconnus ainsi que les local workspace extensions incluses dans le dépôt.

Ce qu’il faut faire immédiatement

Si vous avez déjà utilisé github.dev, supprimez dans votre navigateur les données du site / cookies / local storage de github.dev. Ensuite, n’ouvrez plus de liens github.dev inconnus ; si vous devez absolument les consulter, il est plus sûr de vérifier uniquement le code depuis la page web GitHub ou d’utiliser un profil de navigateur isolé.