Giriş
Kısa süre önce, Microsoft Visual Studio Code (VS Code) üzerinden gerçekleştirilebilen tek tıklamalı bir saldırı, kullanıcıların GitHub tokenlarını çalma olanağı sundu. Bu durum, geliştiricilerin güvenliği açısından ciddi bir tehdit teşkil ediyor.
Saldırı Nasıl Çalışıyor?
Güvenlik araştırmacısı Ammar Askar, CVE-2026-XXXX koduyla bilinen bu güvenlik açığının, bir bağlantıya tıklanarak GitHub tokenının çalınabileceğini belirtti. GitHub, kullanıcıların pull request gönderip commit yapmalarını sağlayan GitHub.dev adında bir web tabanlı kaynak kod editörü sunmaktadır. Bu özellik, bir OAuth tokenını github.dev adresine POST ederek GitHub ile etkileşim sağlamaktadır. Ancak bu token, sadece etkileşimde bulunulan repoya sınırlı değildir; kullanıcının erişimi olduğu tüm repolara tam erişim sağlar.
Açığın temelinde, message-passing mechanism adlı bir mekanizmayı kullanarak, kötü niyetli VS Code uzantıları yüklenmesi yatmaktadır. Bu uzantılar, GitHub.dev aracılığıyla gönderilen GitHub OAuth tokenlarını çalmaktadır. Kötü niyetli JavaScript, güvensiz webview içinde çalıştırılarak ana editör penceresinde tuş vuruşları taklit edilmekte ve saldırgan kontrollü bir uzantı yüklenmektedir.
Etkilenen Sistemler
Aşağıdaki VS Code sürümleri ve uzantıları bu güvenlik açığından etkilenme riski taşımaktadır:
- Microsoft Visual Studio Code
- Bütün GitHub.dev kullanıcıları
- Kötü niyetli JavaScript içeren uzantılar
Çözüm ve Korunma
Hızla çözüm bulmak için aşağıdaki adımları izlemeniz önerilir:
- VS Code ve uzantıları en son sürüme güncelleyin.
- Güvenilir olmayan bağlantılara tıklamaktan kaçının.
- Güvensiz uzantıları tarayıcıdan kaldırın.
- GitHub OAuth tokenlarınızı hemen iptal edin ve yeni tokenlar oluşturun.
Alexandru Dima, Microsoft’tan gelen bir açıklamada, bu açığın VS Code Desktop sürümünü etkilemediğini belirtmiştir. Ancak buna rağmen, kullanıcıların dikkatli olması ve gerekli önlemleri alması önemlidir.
Sonuç
Bu güvenlik açığı nedeniyle kullanıcıların en kısa sürede yazılımlarını güncellemeleri ve yetkisiz girişlere karşı dikkatli olmaları gerekmektedir. Ayrıca, GitHub OAuth tokenlarınızı iptal edip, yeni tokenlar oluşturmalısınız. Güvenlik araştırmalarında dikkatli kalmak, bu tür tehditlerin önüne geçmenin en etkili yoludur.
