Pengembang VS Code & GitHub Wajib Waspada: Zero-Day Eksploitasi Token OAuth Terbongkar, Amankan Akun Anda Sekarang
Kabar buruk bagi komunitas pengembang perangkat lunak. Sebuah celah keamanan kritis berstatus zero-day pada Visual Studio Code (VS Code) baru saja diungkap ke publik bersama dengan kode eksploitasinya (Proof-of-Concept / PoC).
Celah ini memungkinkan peretas untuk mencuri token otentikasi GitHub (OAuth Token) hanya dengan sekali klik (one-click exploit), memberikan mereka akses penuh ke seluruh repositori kode privat milik korban. Celah berbahaya ini ditemukan oleh peneliti keamanan Ammar Askar dan hingga saat ini belum memiliki tambalan resmi (patch) dari Microsoft maupun nomor identifikasi CVE resmi.
1. Mekanisme Serangan: Eksploitasi Jalur Pesan Sandboxed Webview
Serangan ini menargetkan platform github.dev, sebuah versi VS Code berbasis peramban (browser-based) yang sering digunakan pengembang untuk menyunting kode langsung di repositori GitHub.
Pengguna Menekan Tautan Jebakan yang Dikirimkan Peretas
│
▼
Peramban Membuka github.dev & Mengirimkan Token OAuth GitHub
│
▼ [Eksploitasi Celah Sandboxed Webview]
JavaScript Jahat Berjalan -> Mensimulasikan Ketukan Tombol di Editor Utama
│
▼
Ekstensi Jahat Terinstal Secara Otomatis Tanpa Diketahui Pengguna
│
▼ [Tahap Akhir Pencurian IP]
Ekstensi Mengekstrak Token OAuth Ekstrem & Menguras Seluruh Repositori Privat Korban
Mengapa Dampaknya Sangat Fatal?
Ammar Askar menjelaskan bahwa saat Anda membuka github.dev, situs github.com akan melakukan pengiriman (POSTing) token OAuth ke peramban agar Anda bisa berinteraksi dengan repositori.
⚠️ Catatan Kritis: Token OAuth yang dikirimkan ini tidak dibatasi (not scoped) hanya pada repositori yang sedang Anda buka. Artinya, begitu peretas berhasil mencuri token tersebut, mereka otomatis mendapatkan hak akses penuh ke semua repositori privat (full access to all private repos) yang bisa diakses oleh akun GitHub Anda.
2. Cara Melindungi Diri Anda Sekarang (Mitigasi Mandiri)
Karena Microsoft belum merilis pembaruan keamanan untuk menambal celah ini, Anda wajib melakukan langkah mitigasi darurat pada peramban (browser) Anda guna memaksa sistem memunculkan jendela peringatan (warning dialog) jika ada tautan yang mencoba mengeksploitasi akun Anda.
Langkah-langkah Pembersihan Data di Peramban:
- Buka peramban Anda (Chrome, Edge, Brave, dll).
- Ketik atau buka alamat
[https://github.dev](https://github.dev). - Klik ikon Settings/Gembok yang berada di sebelah kiri kolom pengisian URL (URL Bar).
- Masuk ke menu Cookies and site data (Kue dan data situs).
- Pilih opsi Manage on-device site data (Kelola data situs di perangkat), lalu Hapus/Clear semua cookies dan lokal data untuk domain tersebut.
[Hasil Setelah Mitigasi Mandiri Dilakukan]
Saat Tautan Eksploitasi Ditekan ──► Peramban Dipaksa Membakar Jendela Peringatan:
"The extension 'GitHub Repositories' wants to sign in using GitHub."
│
▼
[ Pengguna Tinggal Menekan Tombol REJECT / CANCEL ]
3. Alasan Peneliti Langsung Melakukan Full Public Disclosure
Ammar Askar mengakui bahwa ia hanya memberikan waktu notifikasi satu jam kepada pihak GitHub sebelum melempar detail eksploitasi ini ke publik. Langkah agresif ini sengaja ia ambil karena pengalaman buruk sebelumnya saat berurusan dengan Microsoft Security Response Center (MSRC).
Askar mengungkapkan bahwa pada laporan bug VS Code sebelumnya, pihak MSRC secara diam-diam menambal celah tersebut (silently fixed) tanpa memberikan kredit, pengakuan, ataupun insentif keamanan (bug bounty), bahkan mengklaim bug tersebut tidak memiliki dampak keamanan. Hal serupa juga dikeluhkan oleh peneliti anonim berinisial ‘Nightmare Eclipse’ yang belakangan ini gencar membocorkan rentetan zero-day Microsoft (BlueHammer, RedSun, YellowKey, UnDefend) sebagai protes atas buruknya penanganan laporan dari tim MSRC.
Hingga saat ini, pihak Microsoft belum memberikan pernyataan resmi maupun estimasi tanggal perilisan perbaikan untuk mengamankan platform VS Code dan github.dev. Para pengembang sangat disarankan untuk ekstra waspada dalam menekan tautan repositori asing dalam beberapa waktu ke depan.
