Уязвимость нашли в том, как Visual Studio Code обрабатывал нажатия клавиш внутри встроенных веб-окон. В случае с github.dev атака особенно опасна, потому что жертве достаточно открыть подготовленную ссылку.
github.dev позволяет открыть любой доступный пользователю репозиторий прямо в браузере, в облегчённой версии Visual Studio Code. Через такой редактор можно просматривать файлы, менять код, создавать запросы на слияние и делать коммиты. Для работы GitHub передаёт в github.dev токен OAuth, который позволяет действовать от имени пользователя, подробнее пишет Securitylab.
Автор раскрыл уязвимость публично 2 июня 2026 года. За час до публикации он сообщил о проблеме своему старому контакту в службе безопасности GitHub, после чего выложил описание и создал обращение в баг-трекере Visual Studio Code.
Новость прокомментировал технический директор GitFlic (входит в «Группу Астра») Эдуард Тихомиров.
«Обнаруженная уязвимость в Visual Studio Code и github.dev — яркий пример того, как «удобство» зарубежных инструментов оборачивается критическими дырами в безопасности. Злоумышленник может украсть OAuth-токен и получить доступ к приватным репозиториям жертвы буквально одним кликом — из-за того, что редактор кода доверяет вредоносным веб-окнам и горячим клавишам. Для ключевых российских Git-платформ, таких как GitFlic, подобная атака не применима в принципе. Мы используем собственные редакторы кода, полностью контролируем механизмы авторизации и не передаём управление через уязвимые веб-представления. Токены доступа жёстко привязаны к конкретному репозиторию и сессии, а любой сторонний код изолирован на уровне архитектуры. Отечественные решения соответствующие принципам РБПО снижают риски взломов, поэтому мы рекомендуем использовать суверенное ПО, особенно компаниям с госучастием и КИИ»,—говорит эксперт Эдуард Тихомиров.
