{"id":5088,"date":"2026-06-05T08:59:48","date_gmt":"2026-06-05T13:59:48","guid":{"rendered":"https:\/\/cert.pa\/?p=5088"},"modified":"2026-06-05T08:59:48","modified_gmt":"2026-06-05T13:59:48","slug":"csirt-panama-aviso-2026-06-04-zero-day-en-visual-studio-code-permite-robo-de-tokens-github-con-un-solo-clic-poc-publico-sin-cve-asignado","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=5088","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2026-06-04: Zero-Day en Visual Studio Code Permite Robo de Tokens GitHub con un Solo Clic \u2014 PoC P\u00fablico (Sin CVE Asignado)"},"content":{"rendered":"<p><strong>Gravedad:<\/strong> Alta &nbsp;&nbsp;&nbsp;&nbsp; <strong>Fecha de publicaci\u00f3n:<\/strong> 04 de junio de 2026 &nbsp;&nbsp;&nbsp;&nbsp; <strong>\u00daltima revisi\u00f3n:<\/strong> 04 de junio de 2026<\/p>\n<hr\/>\n<h2>Sistemas Afectados<\/h2>\n<ul>\n<li>Microsoft Visual Studio Code \u2014 todas las versiones con integraci\u00f3n GitHub Repositories activa<\/li>\n<li>Usuarios que acceden a github.dev desde VS Code<\/li>\n<li>Organizaciones con repositorios privados en GitHub cuyos desarrolladores usen VS Code<\/li>\n<li>Entornos de desarrollo de software que utilicen la extensi\u00f3n GitHub Repositories de VS Code<\/li>\n<\/ul>\n<table>\n<tbody>\n<tr>\n<td><strong>Identificador CVE<\/strong><\/td>\n<td>Sin CVE asignado (Zero-Day)<\/td>\n<\/tr>\n<tr>\n<td><strong>CVSS Score<\/strong><\/td>\n<td>8.3 (Alta)<\/td>\n<\/tr>\n<tr>\n<td><strong>Tecnolog\u00eda<\/strong><\/td>\n<td>Microsoft Visual Studio Code \u2014 todas las versiones que interact\u00faan con github.dev (sin parche disponible al 04\/06\/2026)<\/td>\n<\/tr>\n<tr>\n<td><strong>Fuente<\/strong><\/td>\n<td>BleepingComputer<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>I. Descripci\u00f3n<\/h2>\n<p>CSIRT Panam\u00e1 alerta sobre la divulgaci\u00f3n p\u00fablica el 3 de junio de 2026 de una vulnerabilidad zero-day en Visual Studio Code (VS Code) que permite a atacantes robar tokens OAuth de GitHub con una sola interacci\u00f3n del usuario. El investigador de seguridad Ammar Askar public\u00f3 simult\u00e1neamente el an\u00e1lisis t\u00e9cnico y el c\u00f3digo de prueba de concepto (PoC) sin esperar un parche oficial de Microsoft, citando experiencias previas negativas con el proceso de divulgaci\u00f3n de Microsoft Security Response Center (MSRC).<\/p>\n<p>La vulnerabilidad explota el sistema de paso de mensajes entre webviews de VS Code (sandboxed webview message-passing system). Cuando un usuario hace clic en un enlace malicioso, se instala una extensi\u00f3n maliciosa que extrae el token OAuth de GitHub enviado a github.dev y consulta la API de GitHub para enumerar todos los repositorios privados a los que la v\u00edctima tiene acceso. El token obtenido no est\u00e1 limitado al repositorio espec\u00edfico, sino que otorga acceso completo a todos los repositorios del usuario.<\/p>\n<p>Microsoft confirm\u00f3 el 3 de junio de 2026 que el problema fue mitigado desde el lado del servicio (github.dev) sin requerir acci\u00f3n del usuario. Sin embargo, el CSIRT Panam\u00e1 recomienda aplicar las medidas de protecci\u00f3n adicionales detalladas, dado que el PoC est\u00e1 p\u00fablicamente disponible y podr\u00eda ser adaptado.<\/p>\n<h2>II. Impacto<\/h2>\n<ul>\n<li>Robo de tokens OAuth de GitHub con acceso completo a todos los repositorios privados del usuario.<\/li>\n<li>Exfiltraci\u00f3n de c\u00f3digo fuente propietario, secretos, credenciales y datos confidenciales almacenados en repositorios.<\/li>\n<li>Posibilidad de modificaci\u00f3n de c\u00f3digo en repositorios comprometidos, introduciendo backdoors en el software.<\/li>\n<li>Acceso a pipelines CI\/CD y secretos de GitHub Actions configurados en los repositorios.<\/li>\n<li>Compromiso de cadenas de suministro de software si los repositorios afectados son de componentes p\u00fablicos.<\/li>\n<\/ul>\n<h2>III. Referencia a soluciones, herramientas e informaci\u00f3n<\/h2>\n<p>CSIRT Panam\u00e1 recomienda a todos los equipos de desarrollo de software que utilizan VS Code con integraci\u00f3n GitHub adoptar las siguientes medidas de protecci\u00f3n:<\/p>\n<ul>\n<li>Limpiar cookies y datos del sitio local de github.dev en el navegador: configuraci\u00f3n \u2192 Privacidad y seguridad \u2192 Cookies y datos del sitio \u2192 Gestionar datos del sitio \u2192 eliminar github.dev. Esto activar\u00e1 una advertencia de verificaci\u00f3n ante futuros intentos de explotaci\u00f3n.<\/li>\n<li>Verificar que ninguna extensi\u00f3n desconocida fue instalada recientemente en VS Code: Extensions \u2192 revisar extensiones instaladas por fecha.<\/li>\n<li>Revocar y regenerar tokens GitHub OAuth en caso de sospechar compromiso: github.com \u2192 Settings \u2192 Developer settings \u2192 Personal access tokens.<\/li>\n<li>Revisar el historial de accesos a repositorios privados en GitHub: Settings \u2192 Security log para detectar accesos no autorizados.<\/li>\n<li>Mantener VS Code actualizado a la versi\u00f3n m\u00e1s reciente para recibir cualquier parche adicional que Microsoft publique.<\/li>\n<li>Sensibilizar a los equipos de desarrollo sobre el riesgo de hacer clic en enlaces no verificados que interact\u00faen con VS Code o github.dev.<\/li>\n<\/ul>\n<h2>Referencias<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/vs-code-zero-day-lets-hackers-steal-github-tokens-in-one-click\/\" target=\"_blank\">https:\/\/www.bleepingcomputer.com\/news\/security\/vs-code-zero-day-lets-hackers-steal-github-tokens-in-one-click\/<\/a><\/li>\n<li><a href=\"https:\/\/www.securityweek.com\/vs-code-vulnerability-allows-one-click-github-token-theft\/\" target=\"_blank\">https:\/\/www.securityweek.com\/vs-code-vulnerability-allows-one-click-github-token-theft\/<\/a><\/li>\n<li><a href=\"https:\/\/blog.ammaraskar.com\/vscode-github-token-theft\/\" target=\"_blank\">https:\/\/blog.ammaraskar.com\/vscode-github-token-theft\/<\/a><\/li>\n<\/ul>\n<hr\/>\n<p><strong>CSIRT PANAMA<\/strong> \u00b7 Computer Security Incident Response Team<br \/>\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental<br \/>\nE-Mail: <a href=\"mailto:incidentes@cert.pa\">incidentes@cert.pa<\/a> \u00b7 <a href=\"mailto:info@cert.pa\">info@cert.pa<\/a><br \/>\nPhone: +507 520-CERT (2378) \u00b7 Web: <a href=\"https:\/\/cert.pa\">https:\/\/cert.pa<\/a> \u00b7 X: @CSIRTPanama \u00b7 Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gravedad: Alta &nbsp;&nbsp;&nbsp;&nbsp; Fecha de publicaci\u00f3n: 04 de junio de 2026 &nbsp;&nbsp;&nbsp;&nbsp; \u00daltima revisi\u00f3n: 04 de junio de 2026 Sistemas Afectados Microsoft Visual Studio Code \u2014 todas las versiones con integraci\u00f3n GitHub Repositories activa Usuarios&#8230;<\/p>\n","protected":false},"author":5,"featured_media":5110,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[149,72,49,220,9,224,216,225,214,221],"class_list":["post-5088","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-0-day","tag-avisos-de-seguridad","tag-ciberseguridad","tag-github","tag-microsoft","tag-oauth","tag-poc-publico","tag-supply-chain","tag-visual-studio-code","tag-zero-day-2"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5088","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5088"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5088\/revisions"}],"predecessor-version":[{"id":5095,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5088\/revisions\/5095"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/5110"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5088"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5088"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5088"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}