Zero-day VS Code / github.dev : vol de tokens OAuth GitHub via divulgation publique immédiate

📰 Source : SecurityAffairs, publié le 4 juin 2026. Le chercheur en sécurité Ammar Askar a découvert une vulnérabilité zero-day sérieuse dans github.dev, la version navigateur de Visual Studio Code, et a publié un exploit fonctionnel (PoC) une heure après en avoir informé un contact chez GitHub, sans ouvrir de ticket MSRC ni respecter de fenêtre de 90 jours. 🔍 Nature de la vulnérabilité : Lorsque github.com transmet un token OAuth à github.dev, ce token n’est pas limité au dépôt concerné. Il dispose d’un accès complet à tous les dépôts publics et privés accessibles par l’utilisateur. Un attaquant capable de modifier le fichier .vscode/extensions.json d’un dépôt peut y recommander une extension VS Code malveillante. ...

13 juin 2026 · 3 min

Une extension VS Code de type ransomware publiée sur le Marketplace, avec C2 GitHub et exfiltration

Source : Secure Annex — billet de blog technique décrivant la découverte d’une extension Visual Studio Code publiquement listée sur le Visual Studio Marketplace, implémentant des mécanismes de type ransomware et un canal de C2 via GitHub. • Découverte et nature de la menace. L’extension « suspicious VSX » (éditeur « suspicious publisher », ID suspublisher18.susvsex) intègre des comportements de ransomware et d’extorsion. Le code montre des signes de génération via IA (« vibe coded ») et comprend notamment des outils de déchiffrement et le serveur C2 accidentellement inclus dans le paquet publié. ...

10 novembre 2025 · 3 min
Dernière mise à jour le: 4 juillet 2026 📝