github.dev / VSCode Web'de yalnızca bir bağlantıya tıklayarak GitHub token'larının ele geçirilebildiği açık

Bu yazı, github.dev / VSCode Web'de yalnızca bir bağlantıya tıklayarak GitHub token'larının ele geçirilebildiği bir açığı açıklıyor. Saldırganın hazırladığı bir GitHub deposundaki Jupyter notebook, github.dev ile açtırılırsa VSCode Webview'un klavye olayı işleme hatası kötüye kullanılarak kötü amaçlı bir VSCode uzantısı kurulabiliyor; bu uzantı da kullanıcının GitHub API token'ını okuyup private repo'lar dahil depo erişim yetkisini ele geçirebiliyor.

Kaçınılması gereken uygulamalar/ortamlar

1. github.dev bağlantıları
En riskli olanı bu. Tanımadığınız birinin gönderdiği github.dev/... bağlantılarına tıklamamak en iyisi.

2. vscode.dev / VSCode Web
Tarayıcıda çalışan VSCode ortamında da benzer türde riskler var. Özellikle web üzerinde notebook, Markdown önizleme ve uzantı kurulumu bir araya geldiğinde dikkatli olunmalı.

3. VSCode masaüstü uygulamasında bilinmeyen depoları açmak
Masaüstü VSCode'un da etkilendiği belirtiliyor. Özellikle yabancı bir repo'yu clone edip açmak ve içindeki notebook ya da webview içeriğini çalıştırmak riskli olabilir.

4. Bilinmeyen Jupyter Notebook .ipynb dosyaları
Bu yazıdaki PoC, notebook içindeki JavaScript'i kullanıyor. Kaynağı belirsiz .ipynb dosyalarını açmamak en güvenlisi.

5. Önerilen/otomatik kurulan VSCode uzantıları
Depodaki .vscode/extensions.json veya .vscode/extensions temelli uzantı önerileri ve kurulumlarına karşı dikkatli olunmalı. Tanımadığınız publisher'lara ait uzantılardan ve depoya dahil edilmiş local workspace extension'larından kaçının.

Hemen yapılması gerekenler

Daha önce github.dev kullandıysanız tarayıcıda github.dev site verilerini/çerezleri/local storage'ı silin. Bundan sonra tanımadığınız github.dev bağlantılarını açmayın; mutlaka bakmanız gerekiyorsa kodu GitHub web sayfasında görüntülemek ya da izole bir tarayıcı profili kullanmak daha güvenlidir.