ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

1 ข่าว

One-Click GitHub.dev — แค่คลิกลิงก์เดียว แฮ็กเกอร์ขโมย GitHub OAuth Token เข้าถึง repo ส่วนตัวทั้งหมด

One-click GitHub dev attack lets attackers steal full GitHub OAuth tokens
นักวิจัยเปิดเผยการโจมตีแบบ one-click ผ่าน VS Code บน GitHub.dev ที่ขโมย GitHub OAuth token ของผู้ใช้ได้เพียงคลิกลิงก์เดียว token นี้ไม่ได้จำกัดสิทธิ์เฉพาะ repo เดียว แต่เข้าถึงทุก repo ที่เหยื่อมีสิทธิ์ รวมถึง repo ส่วนตัว ผู้โจมตีใช้ extension VS Code อันตรายผ่านกลไก message-passing ระหว่างหน้าต่างหลักกับ webview จำลองการกดปุ่มเปิด Command Palette ติดตั้ง extension ที่ข้าม publisher trust GitHub ได้รับแจ้งวันที่ 2 มิ.ย. 2569 Microsoft กำลังแก้ไข ไม่กระทบ VS Code Desktop