github.dev / VSCode Web에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 취약점
요약
github.dev 및 VSCode Web 환경에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 보안 취약점을 설명합니다. 공격자가 악성 Jupyter Notebook을 통해 VSCode 확장을 설치하고 사용자의 API 토큰을 탈취하는 방식입니다.
핵심 포인트
- github.dev 링크 클릭 시 GitHub API 토큰 탈취 위험
- 악성 Jupyter Notebook을 통한 확장 프로그램 설치 유도
- 출처가 불분명한 .ipynb 파일 및 github.dev 링크 주의
- 피해 예방을 위해 브라우저의 github.dev 데이터 삭제 권장
해당 글은 github.dev / VSCode Web에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 취약점을 설명합니다. 공격자가 만든 GitHub 저장소의 Jupyter notebook
을 github.dev
로 열게 만들면, VSCode Webview의 키보드 이벤트 처리 버그를 악용해 악성 VSCode 확장을 설치하고, 그 확장이 사용자의 GitHub API 토큰을 읽어 private repo 포함 저장소 접근 권한을 탈취할 수 있다는 내용입니다.
피해야 할 앱/환경
1. github.dev 링크
가장 위험합니다. 모르는 사람이 보낸 github.dev/...
링크는 클릭하지 않는 게 좋습니다.
2. vscode.dev / VSCode Web
브라우저에서 돌아가는 VSCode 환경도 같은 계열의 위험이 있습니다. 특히 웹에서 노트북, 마크다운 미리보기, 확장 설치가 얽히면 주의해야 합니다.
3. VSCode 데스크톱 앱에서 모르는 저장소 열기
데스크톱 VSCode도 영향이 있다고 설명됩니다. 특히 낯선 repo를 clone해서 열고, 그 안의 notebook이나 webview 콘텐츠를 실행하면 위험할 수 있습니다.
4. 모르는 Jupyter Notebook .ipynb 파일
이 글의 PoC는 notebook 안의 JavaScript를 이용합니다. 출처 불명
.ipynb
파일은 열지 않는 것이 좋습니다.5. 추천/자동 설치되는 VSCode 확장
저장소 안의 .vscode/extensions.json
또는 .vscode/extensions
기반 확장 추천·설치를 조심해야 합니다. 모르는 publisher의 확장, 저장소에 포함된 local workspace extension은 피하세요.
당장 할 일
github.dev
를 사용한 적이 있다면 브라우저에서 github.dev 사이트 데이터/쿠키/local storage를 삭제하세요. 이후 모르는 github.dev
링크는 열지 말고, 꼭 봐야 한다면 GitHub 웹페이지에서 코드만 확인하거나 격리된 브라우저 프로필을 쓰는 편이 안전합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 GeekNews의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기