github.dev / VSCode Web में सिर्फ लिंक क्लिक करने से GitHub token चोरी होने वाली भेद्यता

यह लेख github.dev / VSCode Web में सिर्फ लिंक क्लिक करने से GitHub token चोरी होने वाली भेद्यता की व्याख्या करता है। अगर हमलावर द्वारा बनाए गए GitHub repository के Jupyter notebook को github.dev में खुलवाया जाए, तो VSCode Webview के keyboard event handling bug का दुरुपयोग करके एक malicious VSCode extension इंस्टॉल कराया जा सकता है, और वह extension उपयोगकर्ता का GitHub API token पढ़कर private repo सहित repositories की access permission छीन सकता है।

किन ऐप/परिस्थितियों से बचें

1. github.dev लिंक
यह सबसे अधिक जोखिमभरा है। किसी अनजान व्यक्ति द्वारा भेजे गए github.dev/... लिंक पर क्लिक न करना बेहतर है।

2. vscode.dev / VSCode Web
ब्राउज़र में चलने वाला VSCode environment भी इसी तरह के जोखिम रखता है। खासकर जब web पर notebook, markdown preview और extension installation साथ जुड़ें, तो सावधानी ज़रूरी है।

3. VSCode desktop app में अनजान repository खोलना
बताया गया है कि desktop VSCode भी प्रभावित हो सकता है। खासकर किसी अपरिचित repo को clone करके खोलना, और उसके भीतर notebook या webview content चलाना जोखिमभरा हो सकता है।

4. अनजान Jupyter Notebook .ipynb फ़ाइलें
इस लेख का PoC notebook के भीतर JavaScript का उपयोग करता है। अज्ञात स्रोत की .ipynb फ़ाइलें न खोलना बेहतर है।

5. सुझाए गए/अपने-आप इंस्टॉल होने वाले VSCode extensions
repository के भीतर .vscode/extensions.json या .vscode/extensions के आधार पर होने वाली extension recommendation/installation से सावधान रहना चाहिए। अनजान publisher के extensions और repository में शामिल local workspace extension से बचें।

अभी क्या करें

अगर आपने github.dev का उपयोग किया है, तो ब्राउज़र में github.dev की site data/cookies/local storage हटाएँ। इसके बाद अनजान github.dev लिंक न खोलें, और अगर देखना ज़रूरी हो तो GitHub webpage पर सिर्फ code देखें या अलग-थलग browser profile का उपयोग करना अधिक सुरक्षित है।