VSCode漏洞危机:一个恶意链接即可窃取GitHub登录令牌
talkingdev • 2026-06-03
1738 views
安全研究人员在Visual Studio Code及github.dev的Webview安全模型中发现了一处严重漏洞。该漏洞源于VSCode对键盘事件的处理缺陷:当攻击者诱导用户点击一个特制链接后,恶意页面中的iframe会利用事件冒泡机制,将键盘事件“伪造”成用户自然输入传递至主窗口。这些模拟击键能够绕过代码扩展的发布者可信认证,诱骗系统安装恶意扩展插件。一旦恶意扩展被成功安装,攻击者即可窃取用户的私有仓库访问凭证、GitHub令牌等敏感信息,进而远程操控受害者的代码库。该风险链无需复杂操作,仅需一次页面交互即可触发,对开发者社区构成显著威胁。
核心要点
- VSCode Webview的键盘事件冒泡机制存在设计缺陷,导致恶意iframe可模拟用户输入。
- 攻击者利用伪造击键绕过发布者信任检查,安装恶意扩展以窃取GitHub令牌和私有数据。
- 漏洞触发条件简单——仅需单个恶意链接配合一次点击,即可能造成企业级代码泄露。