星颖 发表于 2026-6-3 15:14:08

VSCode 漏洞可被用于窃取 GitHub Token

安全研究者披露,攻击者可能通过诱导用户点击 github.dev 链接,利用 VSCode Webview 的键盘事件处理问题安装扩展,从而读取 GitHub API Token,并访问用户有权限的仓库,包括私有仓库。
该问题也存在于桌面版 VSCode,但利用门槛更高。研究者建议清除 github.dev 的站点数据;如果已运行 PoC,还应卸载相关测试扩展。
Ammar’s Blog (https://blog.ammaraskar.com/github-token-stealing/)
https://cdn3.ldstatic.com/optimized/4X/0/1/4/014ae9fd9439f7cc802178ec60205240c3ec907b_2_690x194.jpeg

WeiLeiFeng2 发表于 2026-6-9 02:31:59

成功不是奇迹,而是 一个个具体行动的累积 。

陈杰 发表于 2026-6-14 14:32:18

看到就是学到,信息本身不难,难的是把它转成行动。

dmsp1212 发表于 2026-6-19 09:33:07

这个案例值得对照自己的技能和时间来判断。

王强 发表于 2026-6-23 15:53:58

信息差只是起点,执行差才是真正的差距。

yxch365 发表于 2026-6-28 07:11:00

做大事和做小事的难度是一样的,都会消耗时间和精力,所以 如果决心做事,就要做大事 。

YunShan1 发表于 4 天前

人人为我,我为人人!星友们加油!
页: [1]
查看完整版本: VSCode 漏洞可被用于窃取 GitHub Token