Vulnerabilidade no github.dev / VSCode Web permite roubo de token do GitHub apenas ao clicar em um link

Este texto explica uma vulnerabilidade no github.dev / VSCode Web que permite roubar tokens do GitHub apenas ao clicar em um link. Se a vítima abrir no github.dev um Jupyter notebook de um repositório GitHub criado por um atacante, ele pode explorar um bug no tratamento de eventos de teclado do VSCode Webview para instalar uma extensão maliciosa do VSCode, e essa extensão pode ler o token da API do GitHub do usuário e tomar permissões de acesso a repositórios, incluindo repositórios privados.

Apps/ambientes a evitar

1. links github.dev
É o caso mais perigoso. É melhor não clicar em links github.dev/... enviados por desconhecidos.

2. vscode.dev / VSCode Web
O ambiente do VSCode que roda no navegador também apresenta riscos da mesma família. É preciso ter atenção especialmente quando notebooks, pré-visualização de Markdown e instalação de extensões se misturam na web.

3. Abrir repositórios desconhecidos no app desktop do VSCode
O texto diz que o VSCode desktop também é afetado. Em especial, pode haver risco ao clonar e abrir um repo desconhecido e executar nele conteúdos de notebook ou webview.

4. Arquivos .ipynb de Jupyter Notebook desconhecidos
O PoC deste texto usa JavaScript dentro do notebook. É melhor não abrir arquivos .ipynb de origem desconhecida.

5. Extensões do VSCode recomendadas/instaladas automaticamente
É preciso ter cuidado com recomendações e instalações de extensões baseadas em .vscode/extensions.json ou .vscode/extensions dentro do repositório. Evite extensões de publishers desconhecidos e extensões locais de workspace incluídas no repositório.

O que fazer agora

Se você já usou github.dev, apague no navegador os dados do site / cookies / local storage do github.dev. Depois disso, não abra links github.dev desconhecidos e, se precisar realmente ver o conteúdo, é mais seguro conferir apenas o código na página do GitHub ou usar um perfil de navegador isolado.