O ataque induz a vítima a abrir um link que explora o sistema de troca de mensagens da webview isolada do editor, a fim de instalar uma extensão maliciosa capaz de capturar a credencial enviada do github[.]com para o github[.]dev. A vulnerabilidade ainda não foi corrigida, não recebeu CVE e pode ser mitigada ao limpar cookies e dados locais do github[.]dev no navegador, fazendo o alerta de login da extensão “GitHub Repositories” aparecer ao clicar em links de exploração.

EStou testando o Zed e gostando muito, uma pena a mudança da Anthropic sobre a cobrança do SDK,

Falha zero-day no VS Code permite roubo de tokens GitHub OAuth com apenas um clique

O ataque induz a vítima a abrir um link que explora o sistema de troca de mensagens da webview isolada do editor, a fim de instalar uma extensão maliciosa capaz de capturar a credencial e...