Descoberta de 0-day no VS Code permitia roubo de tokens do GitHub
Uma vulnerabilidade crítica no Visual Studio Code, especificamente na versão web github.dev, permitia o roubo de tokens de autenticação do GitHub. Um pesquisador de segurança expôs a falha após experiências negativas com o processo de divulgação coordenada.
MundiX News·06 de junho de 2026·4 min de leitura·👁 12 views
Um pesquisador de segurança, Ammar Askar, divulgou publicamente um Proof of Concept (PoC) e detalhes sobre uma vulnerabilidade 0-day no Visual Studio Code (VS Code) que permitia o roubo de tokens OAuth do GitHub. A falha reside no mecanismo de comunicação entre os componentes webview isolados e a interface principal do VS Code. O ataque é direcionado especificamente ao github.dev, a versão do editor que permite trabalhar com repositórios do GitHub diretamente no navegador.
Segundo Askar, um atacante precisaria apenas induzir a vítima a clicar em um link especialmente elaborado. Uma vez ativado, um JavaScript malicioso executado dentro do webview poderia simular pressionamentos de tecla na janela principal do editor, levando à instalação de uma extensão maliciosa. Essa extensão, por sua vez, seria capaz de extrair o token OAuth que o GitHub utiliza para autenticar o serviço github.dev em nome do usuário. Com o token em mãos, o atacante poderia acessar a API do GitHub, obtendo acesso a todos os repositórios privados aos quais a vítima tem permissão.
"Este token não é limitado a um repositório específico. Ele concede acesso a todos os repositórios onde o usuário tem permissões", enfatizou Askar. No momento da divulgação, a vulnerabilidade ainda não possuía um identificador CVE e não havia um patch disponível. Como medida de mitigação temporária, o pesquisador recomendou a limpeza de cookies e dados do navegador para github.dev. Após essa ação, qualquer tentativa de exploração apresentaria um aviso ao usuário, informando que a extensão GitHub Repositories solicita autorização via GitHub.
Conforme reportado pelo BleepingComputer, a Microsoft confirmou que a falha já foi corrigida em seus serviços e que nenhuma ação adicional é necessária por parte dos clientes. No entanto, o método de divulgação da vulnerabilidade chamou a atenção. Askar notificou os desenvolvedores do GitHub sobre o bug apenas uma hora antes de publicar seu relatório, optando deliberadamente por não seguir o processo padrão de divulgação coordenada de vulnerabilidades. O pesquisador citou experiências passadas negativas com o Microsoft Security Response Center (MSRC), onde um bug anterior em VS Code foi corrigido sem reconhecimento e classificado como não sendo uma ameaça significativa.
Askar declarou sua intenção de divulgar publicamente todas as vulnerabilidades futuras encontradas no VS Code imediatamente após sua descoberta. Esta não é a primeira vez que pesquisadores entram em conflito com o MSRC recentemente. Anteriormente, um pesquisador anônimo conhecido como Nightmare Eclipse publicou exploits e informações sobre uma série de vulnerabilidades 0-day em produtos da Microsoft, criticando abertamente o trabalho da equipe da empresa. Entre as falhas divulgadas estavam BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma, algumas das quais já estavam sendo exploradas em ataques reais.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um pesquisador de segurança, Ammar Askar, divulgou publicamente um Proof of Concept (PoC) e detalhes sobre uma vulnerabilidade 0-day no Visual Studio Code (VS Code) que permitia o roubo de tokens OAuth do GitHub. A falha reside no mecanismo de comunicação entre os componentes webview isolados e a interface principal do VS Code. O ataque é direcionado especificamente ao github.dev, a versão do editor que permite trabalhar com repositórios do GitHub diretamente no navegador.
Segundo Askar, um atacante precisaria apenas induzir a vítima a clicar em um link especialmente elaborado. Uma vez ativado, um JavaScript malicioso executado dentro do webview poderia simular pressionamentos de tecla na janela principal do editor, levando à instalação de uma extensão maliciosa. Essa extensão, por sua vez, seria capaz de extrair o token OAuth que o GitHub utiliza para autenticar o serviço github.dev em nome do usuário. Com o token em mãos, o atacante poderia acessar a API do GitHub, obtendo acesso a todos os repositórios privados aos quais a vítima tem permissão.
"Este token não é limitado a um repositório específico. Ele concede acesso a todos os repositórios onde o usuário tem permissões", enfatizou Askar. No momento da divulgação, a vulnerabilidade ainda não possuía um identificador CVE e não havia um patch disponível. Como medida de mitigação temporária, o pesquisador recomendou a limpeza de cookies e dados do navegador para github.dev. Após essa ação, qualquer tentativa de exploração apresentaria um aviso ao usuário, informando que a extensão GitHub Repositories solicita autorização via GitHub.
Conforme reportado pelo BleepingComputer, a Microsoft confirmou que a falha já foi corrigida em seus serviços e que nenhuma ação adicional é necessária por parte dos clientes. No entanto, o método de divulgação da vulnerabilidade chamou a atenção. Askar notificou os desenvolvedores do GitHub sobre o bug apenas uma hora antes de publicar seu relatório, optando deliberadamente por não seguir o processo padrão de divulgação coordenada de vulnerabilidades. O pesquisador citou experiências passadas negativas com o Microsoft Security Response Center (MSRC), onde um bug anterior em VS Code foi corrigido sem reconhecimento e classificado como não sendo uma ameaça significativa.
Askar declarou sua intenção de divulgar publicamente todas as vulnerabilidades futuras encontradas no VS Code imediatamente após sua descoberta. Esta não é a primeira vez que pesquisadores entram em conflito com o MSRC recentemente. Anteriormente, um pesquisador anônimo conhecido como Nightmare Eclipse publicou exploits e informações sobre uma série de vulnerabilidades 0-day em produtos da Microsoft, criticando abertamente o trabalho da equipe da empresa. Entre as falhas divulgadas estavam BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma, algumas das quais já estavam sendo exploradas em ataques reais.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
