SECURITY·중요도 8·2026. 06. 03.·GeekNews
github.dev / VSCode Web에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 취약점
── KO ──────────────────
github.dev에서 GitHub 토큰을 탈취할 수 있는 취약점이 발견되었습니다.
github.dev와 VSCode Web에서 발견된 취약점으로 인해, 공격자가 만든 GitHub 저장소의 Jupyter notebook을 열면 GitHub 토큰을 탈취할 수 있는 위험이 존재합니다. 이 취약점은 VSCode Webview의 키보드 이벤트 처리 버그를 이용하여 악성 VSCode 확장을 설치하는 방식으로 작동합니다. 이에 대한 주의가 필요합니다.
── EN ──────────────────
A vulnerability allows GitHub tokens to be stolen via github.dev.
A vulnerability has been discovered in github.dev and VSCode Web that allows attackers to steal GitHub tokens. When opening a Jupyter notebook from a malicious GitHub repository, the exploitation of a keyboard event handling bug in VSCode Webview can lead to the installation of harmful VSCode extensions. This poses a significant security risk that users need to be aware of.