github.dev / VSCode Web에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 취약점

Context

github.dev 및 VSCode Web 환경에서 Webview의 키보드 이벤트 처리 로직 내 보안 허점 발생. Jupyter Notebook의 JavaScript 실행 권한과 VSCode 확장의 권한 체계가 결합되어 사용자 인증 정보에 접근 가능한 구조적 결함 존재.

Technical Solution

• Jupyter Notebook 내 악성 JavaScript 삽입을 통한 초기 진입점 확보
• VSCode Webview의 키보드 이벤트 처리 버그를 악용한 강제 인터랙션 유도
• 사용자 몰래 악성 VSCode Extension을 설치하도록 유도하는 공격 체인 구성
• 설치된 Extension의 고권한 API 접근 권한을 이용한 GitHub API 토큰 추출
• 탈취한 토큰을 외부 서버로 전송하여 Private Repository 접근 권한 획득
• .vscode/extensions.json 설정을 통한 확장 프로그램 자동 설치 메커니즘 악용