github.dev / VSCode Web에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 취약점
(blog.ammaraskar.com)해당 글은 github.dev / VSCode Web에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 취약점을 설명합니다. 공격자가 만든 GitHub 저장소의 Jupyter notebook을 github.dev로 열게 만들면, VSCode Webview의 키보드 이벤트 처리 버그를 악용해 악성 VSCode 확장을 설치하고, 그 확장이 사용자의 GitHub API 토큰을 읽어 private repo 포함 저장소 접근 권한을 탈취할 수 있다는 내용입니다.
피해야 할 앱/환경
1. github.dev 링크
가장 위험합니다. 모르는 사람이 보낸 github.dev/... 링크는 클릭하지 않는 게 좋습니다.
2. vscode.dev / VSCode Web
브라우저에서 돌아가는 VSCode 환경도 같은 계열의 위험이 있습니다. 특히 웹에서 노트북, 마크다운 미리보기, 확장 설치가 얽히면 주의해야 합니다.
3. VSCode 데스크톱 앱에서 모르는 저장소 열기
데스크톱 VSCode도 영향이 있다고 설명됩니다. 특히 낯선 repo를 clone해서 열고, 그 안의 notebook이나 webview 콘텐츠를 실행하면 위험할 수 있습니다.
4. 모르는 Jupyter Notebook .ipynb 파일
이 글의 PoC는 notebook 안의 JavaScript를 이용합니다. 출처 불명 .ipynb 파일은 열지 않는 것이 좋습니다.
5. 추천/자동 설치되는 VSCode 확장
저장소 안의 .vscode/extensions.json 또는 .vscode/extensions 기반 확장 추천·설치를 조심해야 합니다. 모르는 publisher의 확장, 저장소에 포함된 local workspace extension은 피하세요.
당장 할 일
github.dev를 사용한 적이 있다면 브라우저에서 github.dev 사이트 데이터/쿠키/local storage를 삭제하세요. 이후 모르는 github.dev 링크는 열지 말고, 꼭 봐야 한다면 GitHub 웹페이지에서 코드만 확인하거나 격리된 브라우저 프로필을 쓰는 편이 안전합니다.