📱 VSCode 漏洞可被用于窃取 📱 GitHub Token

安全研究者披露，攻击者可能通过诱导用户点击 github.dev 链接，利用 VSCode Webview 的键盘事件处理问题安装扩展，从而读取 GitHub API Token，并访问用户有权限的仓库，包括私有仓库。

该问题也存在于桌面版 VSCode，但利用门槛更高。研究者建议清除 github.dev 的站点数据；如果已运行 PoC，还应卸载相关测试扩展。

Ammar's Blog

🌸 在花频道 · 备用频道 · 投稿通道