Исследователь безопасности Аммар Аскар опубликовал доказательство эксплуатации (PoC) и технические детали критической 0-day-уязвимости в редакторе кода Visual Studio Code от Microsoft. Проблема позволяет злоумышленникам несанкционированно похищать OAuth-токены GitHub непосредственно из среды разработки.Уязвимость связана с тем, как VS Code обрабатывает расширения и их запросы к внешним ресурсам, в частности к API GitHub. Атакующий может создать вредоносное расширение или использовать фишинговую ссылку, которая через внутренние механизмы редактора перехватывает учётные данные, сохранённые в профиле разработчика.Аскар отметил, что проблема кроется в недостаточной изоляции между пользовательскими расширениями и авторизационными данными, которые хранит сам VS Code. Это делает атаку особенно опасной, так как жертва может даже не заметить момента кражи токена — код выполняется в фоне, используя легитимные API редактора.После получения токена злоумышленник получает полный доступ к репозиториям жертвы на GitHub, включая возможность чтения, изменения и удаления кода, а также управления репозиториями от имени владельца. На данный момент Microsoft не выпустила официальное обновление безопасности, и пользователям рекомендуется перепроверить установленные расширения и временно отключить автоматическое OAuth-подключение к GitHub в настройках VS Code.