Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una vulnerabilità in Visual Studio Code consente agli attaccanti di simulare pressioni di tasti e ottenere token OAuth per accedere a repository GitHub privati. L'attacco sfrutta le scorciatoie da tastiera e le notifiche per installare estensioni dannose, bypassando i controlli di attendibilità.
Un semplice clic su un collegamento malevolo potrebbe consentire a un utente malintenzionato di rubare l’accesso ai repository GitHub privati. La vulnerabilità è stata rilevata nel modo in cui Visual Studio Code gestiva le sequenze di tasti all’interno delle finestre Web incorporate. Nel caso di github.dev, l’attacco è particolarmente pericoloso perché la vittima deve solo aprire il collegamento preparato.
Nello specifico, github.dev consente di aprire qualsiasi repository accessibile all’utente direttamente nel browser, in una versione di Visual Studio Code. Attraverso tale editor è possibile visualizzare file, modificare codice, creare richieste di unione ed effettuare commit. Per funzionare, GitHub trasferisce a github.dev token OAuth, che ti consente di agire per conto dell’utente.
Il problema è che il token non è limitato a un repository pubblico. Se l’utente ha accesso ad altri progetti, compresi quelli privati, il token può dare accesso ad essi. Se l’attacco ha successo, l’aggressore è in grado di ottenere un token e richiedere un elenco di repository privati tramite l’interfaccia del software GitHub.
Il punto debole è legato alle visualizzazioni web di Visual Studio Code. Questo meccanismo viene utilizzato, ad esempio, per visualizzare in anteprima i file Markdown e lavorare con i notebook Jupyter. Il contenuto della visualizzazione Web viene eseguito in un’area separata del browser per isolarlo dalla finestra principale dell’editor.
Per comodità, Visual Studio Code passa comunque parte dell’azione dalla visualizzazione Web alla finestra principale. Altrimenti, le scorciatoie da tastiera non funzionerebbero quando il cursore si trova all’interno di una finestra incorporata.
L’implementazione aveva un effetto collaterale pericoloso: uno script all’interno di contenuti non attendibili poteva simulare la pressione di tasti e forzare l’editor a eseguire azioni per conto dell’utente.
Non era possibile inserire direttamente testo arbitrario tramite questo schema, ma le scorciatoie da tastiera integrate erano sufficienti.
Il revisore ha utilizzato una notifica che gli chiedeva di installare un’estensione consigliata e quindi ha abilitato un’estensione dell’area di lavoro locale. Attraverso di esso, è stato possibile aggiungere una scorciatoia da tastiera personalizzata e avviare l’installazione di un’altra estensione, aggirando il controllo di attendibilità per l’editore.
La dimostrazione dell’attacco è stata costruita attorno a un repository con un notebook Jupyter e un’estensione locale all’interno della directory .vscode/extensions. All’apertura, lo script attendeva la visualizzazione di una notifica, simulava un clic per eseguire l’azione principale, quindi avviava una nuova scorciatoia da tastiera e installava un’estensione che recuperava il token GitHub.
Dopo aver installato l’estensione dannosa ha avuto accesso all’interfaccia del software GitHub, ha ricevuto un elenco di repository privati disponibili e ha visualizzato il token rubato. L’autore sottolinea che la dimostrazione non è stata un attacco furtivo, ma ha mostrato un modo reale per rubare l’accesso tramite un solo clic su un collegamento.
La vulnerabilità ha colpito non solo github.dev, ma anche la versione desktop di Visual Studio Code. Nella versione desktop, invece, l’aggressore dovrebbe convincere la vittima a clonare il repository preparato e ad aprire il blocco note dannoso. Se si verificasse un altro bug nella visualizzazione web, le conseguenze potrebbero essere più gravi, inclusa l’esecuzione di codice sul computer.
L’autore della pubblicazione ha notato separatamente che alcune delle protezioni di Visual Studio Code funzionavano ancora. Rigorose politiche di sicurezza dei contenuti e la sanificazione dell’HTML in alcuni punti hanno impedito che l’attacco si espandesse ad altri script. Il bug, tuttavia, ha dimostrato che il meccanismo che passa le scorciatoie da tastiera dalla finestra isolata all’editor principale può diventare un pericoloso canale di controllo.
L’autore ha rivelato pubblicamente la vulnerabilità il 2 giugno 2026. Un’ora prima della pubblicazione, ha segnalato il problema, dopo di che ha pubblicato una descrizione e creato un problema nel bug tracker di Visual Studio Code.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]