Una vulnerabilidad en Visual Studio Code permite a un atacante robar el token OAuth de GitHub con un único clic, según ha revelado una investigación de seguridad publicada esta semana. El fallo aprovecha la función github.dev, una versión ligera de VSCode que se ejecuta en el navegador y que recibe desde github.com un token con acceso completo a todos los repositorios del usuario, incluidos los privados.
El problema reside en los webviews de VSCode, que utilizan iframes con un origen distinto al de la ventana principal para aislar el código JavaScript que contienen. Sin embargo, la aplicación registra un manejador que reenvía los eventos de teclado (did-keydown) desde el webview a la ventana principal, lo que permite a un script no confiable simular pulsaciones del usuario. En la práctica, un atacante podría cargar contenido malicioso dentro de un webview y, mediante eventos sintéticos, abrir la paleta de comandos, instalar una extensión controlada por él y, desde ella, exfiltrar el token de GitHub.
La vulnerabilidad afecta a las versiones de escritorio basadas en Electron, aunque VSCode en navegador emplea un modelo de aislamiento similar. El autor subraya que el equipo de VSCode reaccionó con transparencia durante la divulgación coordinada y publica los detalles tras la disponibilidad del parche. Recomienda actualizar VSCode y extremar la precaución al abrir enlaces que ejecuten contenido en github.dev.