📰 Source : SecurityAffairs, publiĂ© le 4 juin 2026. Le chercheur en sĂ©curitĂ© Ammar Askar a dĂ©couvert une vulnĂ©rabilitĂ© zero-day sĂ©rieuse dans github.dev, la version navigateur de Visual Studio Code, et a publiĂ© un exploit fonctionnel (PoC) une heure aprĂšs en avoir informĂ© un contact chez GitHub, sans ouvrir de ticket MSRC ni respecter de fenĂȘtre de 90 jours.

🔍 Nature de la vulnĂ©rabilitĂ© : Lorsque github.com transmet un token OAuth Ă  github.dev, ce token n’est pas limitĂ© au dĂ©pĂŽt concernĂ©. Il dispose d’un accĂšs complet Ă  tous les dĂ©pĂŽts publics et privĂ©s accessibles par l’utilisateur. Un attaquant capable de modifier le fichier .vscode/extensions.json d’un dĂ©pĂŽt peut y recommander une extension VS Code malveillante.

⚙ MĂ©canisme d’attaque :

  • L’attaquant insĂšre du code HTML malveillant dans un Jupyter Notebook hĂ©bergĂ© dans le dĂ©pĂŽt
  • La victime ouvre le dĂ©pĂŽt via un lien github.dev forgĂ©
  • Le notebook s’exĂ©cute en arriĂšre-plan et simule le raccourci clavier d’approbation de l’invite d’installation d’extension
  • L’extension malveillante s’installe silencieusement et exfiltre le token OAuth, donnant Ă  l’attaquant un accĂšs en lecture/Ă©criture sur tous les dĂ©pĂŽts de la victime

đŸ§‘â€đŸ’» Contexte de divulgation : Askar justifie l’absence de divulgation coordonnĂ©e par une expĂ©rience passĂ©e nĂ©gative avec le MSRC (Microsoft Security Response Center) : correction silencieuse d’un bug VS Code signalĂ©, absence de crĂ©dit, et classification erronĂ©e comme sans impact sĂ©curitĂ©. Il cite Ă©galement un rapport rĂ©cent de Starlabs sur un bug XSS dans VS Code, classĂ© inĂ©ligible et de faible sĂ©vĂ©ritĂ© par MSRC.

🔗 Comparaison avec Chaotic Eclipse : L’article Ă©tablit un parallĂšle avec le chercheur Chaotic Eclipse, auteur de six zero-days Windows publiĂ©s sans prĂ©avis (MiniPlasma, BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma), dont trois exploitĂ©s in-the-wild avant tout patch, et qui a fait l’objet d’une tentative d’intimidation juridique par Microsoft via sa Digital Crimes Unit.

📌 Type d’article : Article de presse spĂ©cialisĂ©e analysant une divulgation publique immĂ©diate d’un zero-day, dans le contexte plus large de la dĂ©gradation des relations entre chercheurs en sĂ©curitĂ© et le processus de rĂ©ponse de Microsoft (MSRC).

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1176 — Browser Extensions (Persistence)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)

IOC

  • Chemins : .vscode/extensions.json

Malware / Outils

  • Malicious VS Code Extension (stealer)

🟡 Indice de vĂ©rification factuelle : 36/100 (moyenne)

  • ⬜ securityaffairs.com — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 7834 chars — texte complet (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vĂ©rifiĂ© (0pts)
  • ✅ 6 TTPs MITRE identifiĂ©es (15pts)
  • ⬜ date RSS ou approximĂ©e (0pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://securityaffairs.com/193128/security/researcher-drops-a-new-vs-code-zero-day-after-losing-trust-in-microsofts-disclosure-process.html

🖮 Archive : https://web.archive.org/web/20260611143955/https://securityaffairs.com/193128/security/researcher-drops-a-new-vs-code-zero-day-after-losing-trust-in-microsofts-disclosure-process.html