한 클릭으로 GitHub OAuth 토큰을 탈취할 수 있는 공격이 발견됐다.
사이버 보안 연구자들은 Microsoft Visual Studio Code (VS Code)를 통한 한 클릭 공격을 공개했다. 이 공격은 사용자가 링크를 클릭하기만 하면 GitHub 토큰을 탈취할 수 있도록 한다. 해당 토큰은 사용자의 저장소를 읽고 쓸 수 있는 권한을 포함하며, 심지어 비공개 저장소에도 접근 가능하다. 이는 GitHub의 GitHub.dev 기능과 관련되어 있다.
A one-click attack can steal GitHub OAuth tokens via Microsoft Visual Studio Code.
Cybersecurity researchers have disclosed a one-click attack via Microsoft Visual Studio Code (VS Code) that allows attackers to steal a user's GitHub token. By simply clicking a link, an attacker can obtain a GitHub token that has read and write access to the user's repositories, including private ones. This attack is related to GitHub's GitHub.dev feature, raising significant security concerns.