Contents
see List이번 쇼츠는 VS Code 링크 한 번에 GitHub 토큰 털립니다 ㄷㄷ github.dev 제로데이 실화 내용을 짧게 정리한 주제 영상입니다. 핵심 장면과 설명은 YouTube Shorts에서 바로 확인할 수 있습니다.
카테고리는 IT최신뉴스이며, 영상은 짧은 시간 안에 중요한 맥락과 실사용 포인트를 전달하도록 구성했습니다.
영상 핵심 요약
- VS Code 링크 하나 눌렀는데, GitHub 비공개 저장소 토큰까지 털릴 수 있다는 제로데이가 공개됐습니다.
- 공개자는 보안 연구자 Ammar Askar입니다. 2026년 6월 2일, PoC까지 같이 올려서 파장이 커졌습니다.
- 핵심 무대는 github.dev입니다. GitHub 주소를 .dev로 바꾸면 브라우저에서 VS Code처럼 저장소를 여는 기능입니다.
- 문제는 여기 들어가는 OAuth 토큰입니다. 연구자는 이 토큰이 특정 저장소 하나가 아니라 접근 가능한 저장소 전체에 닿는다고 설명했습니다.
- 버그는 웹뷰에서 터졌습니다. 웹뷰 안의 자바스크립트가 키보드 입력처럼 메시지를 보내서 메인 VS Code 단축키를 건드릴 수 있었습니다.
- 그 다음 흐름이 무섭습니다. 알림 수락 단축키와 확장 설치 흐름을 엮어서, 공격자 확장을 심는 방식입니다.
- 확장이 깔리면 GitHub API 토큰을 뽑고, 피해자가 볼 수 있는 비공개 저장소 목록까지 긁어올 수 있다는 PoC가 나왔습니다.
- Microsoft 쪽 이슈는 닫혔고 긴급 수정도 붙었지만, 연구자는 웹뷰 단축키 전체 문제는 더 봐야 한다고 남겼습니다.
쇼츠에서는 긴 글로 설명하기보다 장면, 자막, 음성 흐름으로 핵심을 빠르게 전달합니다. 이 글은 영상 내용을 다시 확인하거나 링크를 보관하기 위한 기록용 요약입니다.