Un bug di Visual Studio Code permette il furto dei token GitHub con un clic

Patch management

Vulnerabilità

Un semplice clic su un collegamento potrebbe bastare per compromettere un account GitHub dotato di accesso a repository privati, capacità di scrittura sul codice e gestione di progetti aziendali. È la conclusione di una ricerca pubblicata da Ammar Askar, sviluppatore e ricercatore di sicurezza, che ha analizzato una vulnerabilità presente in Visual Studio Code e nelle versioni web dell’editor, incluse github.dev e vscode.dev.

La questione assume un peso particolare se si considera che GitHub rappresenta uno dei pilastri della collaborazione software mondiale e che i token di accesso costituiscono spesso una chiave universale verso codice sorgente, infrastrutture cloud e processi CI/CD. La sottrazione di token continua a essere una delle tecniche più efficaci per ottenere accessi non autorizzati a repository e servizi associati.

Come funziona github.dev e perché il token GitHub è così prezioso