github.dev / VSCode Webで、リンクをクリックするだけでGitHubトークンが奪取されうる脆弱性

この記事は、github.dev / VSCode Webで、リンクをクリックするだけでGitHubトークンが奪取されうる脆弱性を説明しています。攻撃者が作成したGitHubリポジトリのJupyter notebookをgithub.devで開かせると、VSCode Webviewのキーボードイベント処理バグを悪用して悪意あるVSCode拡張機能をインストールし、その拡張機能がユーザーのGitHub APIトークンを読み取り、private repoを含むリポジトリへのアクセス権限を奪取できるという内容です。

避けるべきアプリ/環境

1. github.devリンク
最も危険です。知らない人が送ってきたgithub.dev/...リンクはクリックしないほうがよいです。

2. vscode.dev / VSCode Web
ブラウザで動くVSCode環境にも同系統の危険があります。特にWeb上でノートブック、Markdownプレビュー、拡張機能のインストールが絡む場合は注意が必要です。

3. VSCodeデスクトップアプリで、知らないリポジトリを開くこと
デスクトップ版VSCodeも影響を受けると説明されています。特に見慣れないrepoをcloneして開き、その中のnotebookやwebviewコンテンツを実行すると危険な可能性があります。

4. 出所不明のJupyter Notebook .ipynbファイル
この記事のPoCはnotebook内のJavaScriptを利用します。出所不明の.ipynbファイルは開かないほうがよいです。

5. 推奨/自動インストールされるVSCode拡張機能
リポジトリ内の.vscode/extensions.jsonまたは.vscode/extensionsに基づく拡張機能の推奨・インストールには注意が必要です。知らないpublisherの拡張機能や、リポジトリに含まれるlocal workspace extensionは避けてください。

今すぐやるべきこと

github.devを使ったことがあるなら、ブラウザでgithub.devのサイトデータ / Cookie / local storageを削除してください。その後は知らないgithub.devリンクを開かず、どうしても確認が必要ならGitHubのWebページでコードだけを確認するか、隔離されたブラウザープロファイルを使うほうが安全です。