SECURITY·중요도 8·2026. 06. 03.·GeekNews

github.dev / VSCode Web에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 취약점

── KO ──────────────────

github.dev에서 GitHub 토큰을 탈취할 수 있는 취약점이 발견되었습니다.

github.dev와 VSCode Web에서 발견된 취약점으로 인해, 공격자가 만든 GitHub 저장소의 Jupyter notebook을 열면 GitHub 토큰을 탈취할 수 있는 위험이 존재합니다. 이 취약점은 VSCode Webview의 키보드 이벤트 처리 버그를 이용하여 악성 VSCode 확장을 설치하는 방식으로 작동합니다. 이에 대한 주의가 필요합니다.


── EN ──────────────────

A vulnerability allows GitHub tokens to be stolen via github.dev.

A vulnerability has been discovered in github.dev and VSCode Web that allows attackers to steal GitHub tokens. When opening a Jupyter notebook from a malicious GitHub repository, the exploitation of a keyboard event handling bug in VSCode Webview can lead to the installation of harmful VSCode extensions. This poses a significant security risk that users need to be aware of.

원문 보기 →목록으로