🚨 高危预警:VSCode 漏洞导致 GitHub Token 1-Click 被盗
最近,安全研究员 Ammar Askar 披露了一个惊人的安全漏洞:利用 Visual Studio Code (VSCode) 的扩展机制缺陷,攻击者仅需一次点击即可窃取用户的 GitHub Personal Access Token (PAT)。
这一漏洞不仅影响单个用户,更揭示了 IDE 插件生态中潜在的信任风险。
—
🔍 漏洞原理简述
该漏洞的核心在于 VSCode 扩展系统的权限管理缺陷。
- 恶意扩展伪装:攻击者发布一个看似正常的 VSCode 扩展。
- 利用扩展 API:当用户安装并激活该扩展时,扩展代码可访问 VSCode 的内部环境变量和配置存储。
- Token 提取:GitHub CLI (
gh) 或 GitHub 扩展通常将认证令牌存储在本地。恶意扩展通过读取这些本地存储或拦截环境变量,直接获取令牌。
- 静默外传:获取令牌后,扩展将数据发送到攻击者控制的服务器,全程用户无感知。
⚠️ 关键点:无需用户授权二次确认,无需复杂操作,一键安装即中招。
—
🛡️ 影响范围
- 受影响用户:所有安装恶意扩展的 VSCode 用户。
- 受影响资产:GitHub Personal Access Tokens (PAT)、GitHub CLI 认证状态。
- 攻击门槛:极低,只需诱导用户安装并启用扩展。
—
✅ 防护建议
- 检查已安装扩展:立即审查 VSCode 中已安装的第三方扩展,特别是来源不明或功能可疑的插件。
- 撤销并轮换令牌:
- 登录 GitHub 进入 Settings → Developer settings → Personal access tokens。
- 立即撤销所有已生成的 PAT。
- 重新生成新的令牌,并仅授予必要的最小权限。
- 启用 2FA:确保 GitHub 账户已启用双因素认证 (2FA)。
- 谨慎授权:安装 VSCode 扩展前,务必仔细检查其权限请求和开发者信誉。
- 保持软件更新:确保 VSCode 及其 GitHub 相关扩展保持最新版本,以利用最新的安全补丁。
—
📝 原文链接
—
💬 讨论:你如何管理自己的 IDE 插件?是否曾遇到过可疑扩展?欢迎在评论区分享你的经验!
#VSCode #GitHub #安全漏洞 #Web安全 #Token泄露