В github.dev описали сценарий атаки, при котором переход по подготовленной ссылке мог привести к захвату OAuth-токена. Такой токен позволяет работать с репозиторием от имени пользователя: просматривать файлы, вносить изменения, создавать pull request и коммиты.
Проблема связана с обработкой нажатий клавиш во встроенных веб-окнах Visual Studio Code. В связке с github.dev риск становится заметнее: сервис открывает репозитории прямо в браузере, в облегченной версии редактора, а доступ подтверждается токеном GitHub.
Автор уязвимости публично раскрыл детали 2 июня 2026 года. За час до публикации он сообщил о проблеме контакту в службе безопасности GitHub, после чего отправил обращение в баг-трекер Visual Studio Code.
Технический директор GitFlic, входящего в «Группу Астра», Эдуард Тихомиров считает, что для ключевых российских Git-платформ такой сценарий не переносится напрямую. По его словам, GitFlic использует собственные редакторы кода, контролирует авторизацию и не передает управление через уязвимые веб-представления.
Тихомиров также отметил, что токены доступа в GitFlic привязаны к конкретному репозиторию и сессии, а сторонний код изолирован архитектурно. Для организаций с госучастием и объектов КИИ такие детали важны не как формальность, а как часть снижения риска при работе с исходным кодом.
