rwang1 在 VSCode 漏洞可被用于窃取 GitHub Token 中发帖安全研究者披露，攻击者可能通过诱导用户点击 github.dev 链接，利用 VSCode Webview 的键盘事件处理问题安装扩展，从而读取 GitHub API Token，并访问用户有权限的仓库，包括私有仓库

rwang1 在 VSCode 漏洞可被用于窃取 GitHub Token 中发帖

安全研究者披露，攻击者可能通过诱导用户点击 github.dev 链接，利用 VSCode Webview 的键盘事件处理问题安装扩展，从而读取 GitHub API Token，并访问用户有权限的仓库，包括私有仓库。 
该问题也存在于桌面版 VSCode，但利用门槛更高。研究者建议清除 github.dev 的站点数据；如果已运行 PoC，还应卸载相关测试扩展。 
Ammar’s Blog