# github.dev / VSCode Web에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 취약점

> Clean Markdown view of GeekNews topic #30139. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=30139](https://news.hada.io/topic?id=30139)
- GeekNews Markdown: [https://news.hada.io/topic/30139.md](https://news.hada.io/topic/30139.md)
- Type: news
- Author: [eternalart1004](https://news.hada.io/@eternalart1004)
- Published: 2026-06-03T12:33:17+09:00
- Updated: 2026-06-03T12:33:17+09:00
- Original source: [blog.ammaraskar.com](https://blog.ammaraskar.com/github-token-stealing/)
- Points: 1
- Comments: 0

## Topic Body

해당 글은 **github.dev / VSCode Web에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 취약점**을 설명합니다. 공격자가 만든 GitHub 저장소의 `Jupyter notebook`을 `github.dev`로 열게 만들면, VSCode Webview의 키보드 이벤트 처리 버그를 악용해 악성 VSCode 확장을 설치하고, 그 확장이 사용자의 GitHub API 토큰을 읽어 **private repo 포함 저장소 접근 권한**을 탈취할 수 있다는 내용입니다.   
  
#### 피해야 할 앱/환경  
  
**1. github.dev 링크**  
가장 위험합니다. 모르는 사람이 보낸 `github.dev/...` 링크는 클릭하지 않는 게 좋습니다.  
  
**2. vscode.dev / VSCode Web**  
브라우저에서 돌아가는 VSCode 환경도 같은 계열의 위험이 있습니다. 특히 웹에서 노트북, 마크다운 미리보기, 확장 설치가 얽히면 주의해야 합니다.  
  
**3. VSCode 데스크톱 앱에서 모르는 저장소 열기**  
데스크톱 VSCode도 영향이 있다고 설명됩니다. 특히 낯선 repo를 clone해서 열고, 그 안의 notebook이나 webview 콘텐츠를 실행하면 위험할 수 있습니다.  
  
**4. 모르는 Jupyter Notebook `.ipynb` 파일**  
이 글의 PoC는 notebook 안의 JavaScript를 이용합니다. 출처 불명 `.ipynb` 파일은 열지 않는 것이 좋습니다.  
  
**5. 추천/자동 설치되는 VSCode 확장**  
저장소 안의 `.vscode/extensions.json` 또는 `.vscode/extensions` 기반 확장 추천·설치를 조심해야 합니다. 모르는 publisher의 확장, 저장소에 포함된 local workspace extension은 피하세요.  
  
#### 당장 할 일  
  
`github.dev`를 사용한 적이 있다면 브라우저에서 **github.dev 사이트 데이터/쿠키/local storage를 삭제**하세요. 이후 모르는 `github.dev` 링크는 열지 말고, 꼭 봐야 한다면 GitHub 웹페이지에서 코드만 확인하거나 격리된 브라우저 프로필을 쓰는 편이 안전합니다.

## Comments



_No public comments on this page._