Gravedad: Alta Fecha de publicación: 04 de junio de 2026 Última revisión: 04 de junio de 2026
Sistemas Afectados
- Microsoft Visual Studio Code — todas las versiones con integración GitHub Repositories activa
- Usuarios que acceden a github.dev desde VS Code
- Organizaciones con repositorios privados en GitHub cuyos desarrolladores usen VS Code
- Entornos de desarrollo de software que utilicen la extensión GitHub Repositories de VS Code
| Identificador CVE | Sin CVE asignado (Zero-Day) |
| CVSS Score | 8.3 (Alta) |
| Tecnología | Microsoft Visual Studio Code — todas las versiones que interactúan con github.dev (sin parche disponible al 04/06/2026) |
| Fuente | BleepingComputer |
I. Descripción
CSIRT Panamá alerta sobre la divulgación pública el 3 de junio de 2026 de una vulnerabilidad zero-day en Visual Studio Code (VS Code) que permite a atacantes robar tokens OAuth de GitHub con una sola interacción del usuario. El investigador de seguridad Ammar Askar publicó simultáneamente el análisis técnico y el código de prueba de concepto (PoC) sin esperar un parche oficial de Microsoft, citando experiencias previas negativas con el proceso de divulgación de Microsoft Security Response Center (MSRC).
La vulnerabilidad explota el sistema de paso de mensajes entre webviews de VS Code (sandboxed webview message-passing system). Cuando un usuario hace clic en un enlace malicioso, se instala una extensión maliciosa que extrae el token OAuth de GitHub enviado a github.dev y consulta la API de GitHub para enumerar todos los repositorios privados a los que la víctima tiene acceso. El token obtenido no está limitado al repositorio específico, sino que otorga acceso completo a todos los repositorios del usuario.
Microsoft confirmó el 3 de junio de 2026 que el problema fue mitigado desde el lado del servicio (github.dev) sin requerir acción del usuario. Sin embargo, el CSIRT Panamá recomienda aplicar las medidas de protección adicionales detalladas, dado que el PoC está públicamente disponible y podría ser adaptado.
II. Impacto
- Robo de tokens OAuth de GitHub con acceso completo a todos los repositorios privados del usuario.
- Exfiltración de código fuente propietario, secretos, credenciales y datos confidenciales almacenados en repositorios.
- Posibilidad de modificación de código en repositorios comprometidos, introduciendo backdoors en el software.
- Acceso a pipelines CI/CD y secretos de GitHub Actions configurados en los repositorios.
- Compromiso de cadenas de suministro de software si los repositorios afectados son de componentes públicos.
III. Referencia a soluciones, herramientas e información
CSIRT Panamá recomienda a todos los equipos de desarrollo de software que utilizan VS Code con integración GitHub adoptar las siguientes medidas de protección:
- Limpiar cookies y datos del sitio local de github.dev en el navegador: configuración → Privacidad y seguridad → Cookies y datos del sitio → Gestionar datos del sitio → eliminar github.dev. Esto activará una advertencia de verificación ante futuros intentos de explotación.
- Verificar que ninguna extensión desconocida fue instalada recientemente en VS Code: Extensions → revisar extensiones instaladas por fecha.
- Revocar y regenerar tokens GitHub OAuth en caso de sospechar compromiso: github.com → Settings → Developer settings → Personal access tokens.
- Revisar el historial de accesos a repositorios privados en GitHub: Settings → Security log para detectar accesos no autorizados.
- Mantener VS Code actualizado a la versión más reciente para recibir cualquier parche adicional que Microsoft publique.
- Sensibilizar a los equipos de desarrollo sobre el riesgo de hacer clic en enlaces no verificados que interactúen con VS Code o github.dev.
Referencias
- https://www.bleepingcomputer.com/news/security/vs-code-zero-day-lets-hackers-steal-github-tokens-in-one-click/
- https://www.securityweek.com/vs-code-vulnerability-allows-one-click-github-token-theft/
- https://blog.ammaraskar.com/vscode-github-token-theft/
CSIRT PANAMA · Computer Security Incident Response Team
Autoridad Nacional para la Innovación Gubernamental
E-Mail: incidentes@cert.pa · info@cert.pa
Phone: +507 520-CERT (2378) · Web: https://cert.pa · X: @CSIRTPanama · Key ID: 16F2B124