Новое

Хакеры могут «угонять» GitHub одним кликом

3 июня, 15:49 «Группа Астра»

673

Обычный переход по ссылке мог позволить злоумышленнику украсть доступ к приватным репозиториям GitHub. Эксперт «Группы Астра» Эдуард Тихомиров рассказал, почему для ключевых российских Git-платформ подобная атака не применима.

Уязвимость нашли в том, как Visual Studio Code обрабатывал нажатия клавиш внутри встроенных веб-окон. В случае с github.dev атака особенно опасна, потому что жертве достаточно открыть подготовленную ссылку.

github.dev позволяет открыть любой доступный пользователю репозиторий прямо в браузере, в облегчённой версии Visual Studio Code. Через такой редактор можно просматривать файлы, менять код, создавать запросы на слияние и делать коммиты. Для работы GitHub передаёт в github.dev токен OAuth, который позволяет действовать от имени пользователя, подробнее пишет Securitylab.

Автор раскрыл уязвимость публично 2 июня 2026 года. За час до публикации он сообщил о проблеме своему старому контакту в службе безопасности GitHub, после чего выложил описание и создал обращение в баг-трекере Visual Studio Code.

Новость прокомментировал технический директор GitFlic (входит в «Группу Астра») Эдуард Тихомиров.

«Обнаруженная уязвимость в Visual Studio Code и github.dev — яркий пример того, как «удобство» зарубежных инструментов оборачивается критическими дырами в безопасности. Злоумышленник может украсть OAuth-токен и получить доступ к приватным репозиториям жертвы буквально одним кликом — из-за того, что редактор кода доверяет вредоносным веб-окнам и горячим клавишам.

Для ключевых российских Git-платформ, таких как GitFlic, подобная атака не применима в принципе. Мы используем собственные редакторы кода, полностью контролируем механизмы авторизации и не передаём управление через уязвимые веб-представления. Токены доступа жёстко привязаны к конкретному репозиторию и сессии, а любой сторонний код изолирован на уровне архитектуры.

Отечественные решения соответствующие принципам РБПО снижают риски взломов, поэтому мы рекомендуем использовать суверенное ПО, особенно компаниям с госучастием и КИИ»,—говорит эксперт Эдуард Тихомиров.

Другие новости Москвы

Песков: Ким Чен Ын – всегда желанный гость в России

Собянин объявил о начале приема заявок на конкурс «Московская реставрация»

В Москве мошенники начали обманывать людей с помощью видеоконференций

Анастасия Ракова рассказала о новом формате маршрутизации пациентов с жалобами на боли в колене в Москве

На базе «Склифа» в Москве откроется отдельный центр компетенций по трансплантации конечностей

Сеть центров женского здоровья в Москве пополнится еще шестью клиниками до конца года

Новости Московской области

В Долгопрудном открылась выставка-ярмарка яхт и катеров «Водный мир — 2026»

В лесах Московской области 5 июня не зафиксировано возгораний

Босая москвичка нашла ключ в чужих ботинках и обнесла квартиру на 600 тысяч

Специалисты рассказали, в чем польза деревянных игрушек

Сбер: наша цель - повышение качества и продолжительности активной жизни людей

Свыше 50 детей работников Краснодарского филиала ФГУП «УВО Минтранса России» отдохнут на черноморском побережье

Оформление земельного участка общего назначения в СНТ или ОНТ

В Перми сотрудница детсада снимала с детей нательные крестики, пока они спали

Уральский округ Росгвардии организовал паломническую поездку для семей погибших военнослужащих и сотрудников

Сибирский филиал ведомственной охраны Минтранса России подарил детям праздник

"Трипстер": интерес туристов к Мурманску в июне вырос из-за комфортной погоды

Житель Пензы получил 14 лет строгого режима за госизмену

В Томске на пересечении Учебной и Московского тракта установили светофор

Росавиация ввела ограничения в аэропортах Нижнего Новгорода и Волгограда

СК РФ инициировал суд в Благовещенске за экстремистские татуировки

В Тамбове росгвардейцы оперативно задержали гражданина по подозрению в хищении мобильного телефона

СК России возбудил дело по факту массового заболевания детей

Специалисты Центра защиты леса получили навыки диагностики шелкопряда

АО «Транснефть – Дружба» провело экологические акции по очистке берегов водоемов

В Башкортостане вручили краповый берет матери погибшего бойца спецназа Росгвардии

При силовой поддержке Росгвардии в Ингушетии пресечено публичное оправдание терроризма

Росгвардейцы пресекли грабеж в продуктовом магазине Саранска

На Ставрополье росгвардейцы принимают участие в ведомственной акции «Каникулы с Росгвардией»

В Туле при разборе конструкций после пожара обнаружено тело третьего погибшего

Представитель Управления Росгвардии по Свердловской области рассказал в эфире программы «Акцент» Областного телевидения о ведомственных вузах

Подведены итоги работы отдела госконтроля Росгвардии за 5 месяцев текущего года в ЕАО

Ключ к будущему

В ГАИ предупредили об ограничениях движения на время VK Fest в Казани

Холодоустойчивый сканер штрих-кодов промышленного класса SAOTRON P05i

Заместитель директора Росгвардии генерал-полковник Юрий Аверин принял участие в XXIX Петербургском международном экономическом форуме

ТСД SAOTRON RT-T50X: мобильный терминал сбора данных промышленного класса

Бойцы ОМОН отработали навыки беспарашютного десантирования на аэродроме г. Кызыла

В Росгвардии напоминают жителям Хакасии о мерах профилактики имущественных преступлений в период отпусков

Военнослужащий территориального управления Росгвардии провел патриотическую игру для воспитанников лагеря «Олимп

В Иванове личный состав Росгвардии принял участие в круглом столе по вопросам профилактики наркомании

Бензин под лимит: в приграничье начали резать продажи топлива

От Ярославля до Сибири: как московские ярмарки превратились в главный фуд-трип столицы

На Ямале Росгвардия подвела итоги деятельности подразделений лицензионно-разрешительной работы за май

Ефимов: Первый участок Рублево‑Архангельской линии метро откроют в этом году

ДЕТИ СОТРУДНИКОВ И ВОЕННОСЛУЖАЩИХ УПРАВЛЕНИЯ РОСГВАРДИИ ПО ВОРОНЕЖСКОЙ ОБЛАСТИ ПОСЕТИЛИ ПРАЗДНИК ДЕТСТВА В МОСКВЕ

Другие новости сегодня