安全研究人員公開利用程式碼,攻擊者可透過誘騙用戶點擊連結,一鍵竊取 GitHub 身份驗證權杖。此攻擊手法利用開發者工具漏洞,導致帳號被盜用或敏感資訊外洩。
🔍 防詐解析
攻擊者利用 Visual Studio Code 的零日漏洞,設計惡意連結誘騙開發者點擊,一旦點擊成功,系統便自動竊取 GitHub 身份驗證權杖,使攻擊者能無縫接管帳號。一般開發者常因信任開發工具而降低戒心,容易忽略連結來源的真實性,導致帳號被盜用。建議開發者立即更新 VS Code 至最新版本,並啟用雙重驗證,避免點擊來源不明的連結。
🚩 紅旗特徵
- •點擊不明連結即可竊取權限
- •利用開發者常用工具漏洞
- •攻擊者公開利用程式碼
關鍵字
VS Code零日漏洞GitHub 權杖釣魚攻擊開發者安全
查看原始報導 ↗(BleepingComputer)