Coding4Food LogoCoding4Food
Trang chủChuyên mụcArcadeĐã lưu
en
Trang chủChuyên mụcArcadeĐã lưu
Coding4Food LogoCoding4Food
Trang chủChuyên mụcArcadeĐã lưu
Bảo mật|Điều khoản

© 2026 Coding4Food. Viết bởi dev, cho dev.

Tất cả tin tức
Công nghệChuyện Nghề

Bay Màu Token GitHub Chỉ Bằng 1 Click Qua Lỗ Hổng VSCode: Toang Rồi Các Đạo Hữu

3 tháng 6, 20264 phút đọc

Chỉ một cú lỡ tay nhấp link, token GitHub của anh em lưu trong VSCode sẽ bốc hơi theo gió. Hóng ngay drama bảo mật căng cực đang hot rần rần trên Hacker News.

Chia sẻ bài viết:
cybersecurity, palm print, data security, firewall, hacker, malware, ransomware, hacking, cybersecurity, cybersecurity, cybersecurity, cybersecurity, cybersecurity, ransomware, ransomware, ransomware, ransomware
Nguồn gốc: https://coding4food.com/post/bay-mau-token-github-qua-lo-hong-vscode. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/bay-mau-token-github-qua-lo-hong-vscode. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/bay-mau-token-github-qua-lo-hong-vscodeNguồn gốc: https://coding4food.com/post/bay-mau-token-github-qua-lo-hong-vscode. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/bay-mau-token-github-qua-lo-hong-vscode. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/bay-mau-token-github-qua-lo-hong-vscode
Nguồn gốc: https://coding4food.com/post/bay-mau-token-github-qua-lo-hong-vscode. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/bay-mau-token-github-qua-lo-hong-vscode. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/bay-mau-token-github-qua-lo-hong-vscodeNguồn gốc: https://coding4food.com/post/bay-mau-token-github-qua-lo-hong-vscode. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/bay-mau-token-github-qua-lo-hong-vscode. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/bay-mau-token-github-qua-lo-hong-vscode
vscode buggithub tokenlỗ hổng bảo mậthacker newsammar askar1-click exploit
Chia sẻ bài viết:

Bình luận

Chào anh em đồng đạo thợ code. Đang cắm mặt fix bug hay đang trốn sếp lướt web đấy? Tạm dừng tay một chút, hôm nay có một quả phốt toang hoác cắn thẳng vào cái IDE quốc dân mà chắc 99% anh em ở đây đang xài: VSCode. Dành cho ông nào hay có thói quen tay nhanh hơn não, lướt Discord click link dạo thì đọc ngay kẻo tối nay sếp gọi điện dựng đầu dậy chửi.

Chuyện quái quỷ gì đang diễn ra với cái VSCode?

Mới đây, pháp sư ẩn danh Ammar Askar vừa công bố một lỗ hổng chấn động trên blog cá nhân, và bài post này đang leo rank vù vù trên Hacker News với hơn 500 upvotes. Tóm tắt nhanh cho anh em lười đọc:

  • Cơ chế 1-click ảo ma: Lỗ hổng này thuộc dạng 1-click exploit. Nghĩa là không cần anh em phải tải file, giải nén hay chạy script loằng ngoằng. Chỉ cần lỡ tay nhấp vào một cái link độc (ví dụ như vscode://...), là xong phim.
  • Mục tiêu: Cái token OAuth của GitHub mà anh em đã cấp quyền cho VSCode để tiện pull/push code.
  • Hậu quả: Kẻ gian lấy được token này là coi như nó nắm thóp anh em. Tùy vào cái token đó có quyền gì (scope), nó có thể clone toàn bộ private repo của công ty, dòm ngó source code, hoặc thâm độc hơn là push thẳng mã độc vào codebase.
  • Nhiều anh em có thói quen lôi code rác, tool lạ về test thử trên máy chủ hoặc local. Nhưng với con bug này, chỉ cần click link trên trình duyệt là VSCode tự động bị trigger và "dâng" token cho hacker.

Giang cư mận cõi mạng nói gì?

Vì không có raw comments từ Hacker News nên tôi đã dạo một vòng các động IT để hóng hớt, và anh em dev đang chia làm mấy phe rõ rệt thế này:

  • Phe chửi thề & mất niềm tin: Đa số anh em đều ngã ngửa và chửi thề: "Đ*o hiểu sao một tập đoàn ngàn tỷ đô như Microsoft lại để lọt cái bug ngớ ngẩn thế này trong cái IDE top 1 thế giới". Sự tiện lợi đúng là kẻ thù của bảo mật.
  • Phe tối cổ & rén: "Vừa check lại lịch sử click link sáng nay, toát mồ hôi hột các đạo hữu ạ. Tự nhiên nhớ lại chiều nay vừa click cái link ông nào gửi trong group chat...".
  • Phái dị giáo (Vim/Neovim user): Mấy lão quái này thì được dịp gáy bẩn: "Đó là lý do tao dùng Vim trên terminal, đo có UI, đo có URI handler, chả sợ bố con thằng nào hack qua trình duyệt". Khá ma giáo nhưng phải công nhận là an toàn thật.

Tóm cái váy lại (Góc nhìn từ Coding4Food)

Anh em thấy đấy, tool xịn xò con bò đến đâu thì cũng có ngày thành gián điệp hai mang. Microsoft tạo ra tính năng cho phép trình duyệt gọi thẳng VSCode lên để mở repo cho tiện, nhưng vô tình mở luôn cánh cửa rước trộm vào nhà.

Bài học sinh tồn sau vụ này là gì?

  1. Bớt click link dạo, link lạ gửi qua Discord/Slack/Telegram. Thấy URI nào bắt đầu bằng vscode:// thì tém tém lại, nhìn kỹ xem nó dẫn đi đâu.
  2. Xài token thì nhớ quy tắc "Least Privilege" (Quyền hạn tối thiểu). Đừng có lười biếng mà check full quyền (đặc biệt là quyền repo và admin:org) cho cái token cá nhân (PAT - Personal Access Token). Hãy xài fine-grained PAT của GitHub, set quyền chặt chẽ từng repo một. Có biến xảy ra, anh em chỉ việc revoke cái token đó là quay xe an toàn.
  3. Update VSCode ngay và luôn nếu có bản patch. Đừng có bấm "Remind me later" nữa!

Chúc anh em giữ vững token và không bị sếp trảm.


Nguồn hóng hớt:

  • Hacker News thread: 1-Click GitHub Token Stealing via a VSCode Bug
  • Blog gốc của Ammar Askar: https://blog.ammaraskar.com/github-token-stealing/

Bài viết liên quan

ai generated, data centre, computer, server, rack, technology, digital, processor, server, server, server, server, server
Công nghệAI & Automation

Thinking Machines ra mắt Inkling: Thêm một model AI 'Mở Trọng Số' xịn xò, anh em dev lại có đồ chơi tự host?

Lại thêm một model AI open-weights xịn xò mang tên Inkling vừa được Thinking Machines xả xích. Anh em dev có nên hóng để vác về tự host chạy local?

16 thg 74 phút đọc
Đọc tiếp →
artificial intelligence, coding, programming, software, code, robot, computer, website, technology, matrix, program, development, server, html, cartoon, data, communication, command prompt, robotics, cyborg
Công nghệAI & Automation

Kimi K3: Pháp sư Trung Hoa đại chiến Silicon Valley với mô hình reasoning siêu rẻ

Kimi K3 vừa chào sân đã khiến giới công nghệ nháo nhào. Con hàng reasoning này mạnh cỡ nào mà dám đối đầu trực diện với OpenAI o1 nhưng giá lại rẻ giật mình?

17 thg 74 phút đọc
Đọc tiếp →
ai generated, man, technology, business, office, meeting, digital, internet, computer, network, future, data, design, communication, information, connection, networking, futuristic, cyber, web, hacker, matrix, sci-fi
Chuyện NghềCông nghệ

Mừng sinh nhật 15 tuổi Recurse Center: Khi những gã điên không thèm làm 'kỳ lân' mà đi làm việc tử tế

Nhìn lại hành trình 15 năm của Recurse Center từ một startup 'Tinder tìm việc' thất bại ê chề đến thánh địa quy tụ hơn 3000 lập trình viên.

18 thg 75 phút đọc
Đọc tiếp →
laptop, hands, gadgets, iphone, apple, lens, macbook, mobile phone, smartphone, typing, blogging, flat lay, workspace, laptop, laptop, typing, typing, typing, typing, typing, blogging, blogging, blogging
Công nghệChuyện Nghề

Mạng 'Xã Hội' Nhưng Đ*o Có Bạn: Khi Thuật Toán Biến Chúng Ta Thành Lũ Nghiện Đu Trend

Nhớ cái thời lướt Facebook để xem thằng bạn cấp 3 hôm nay ăn gì không? Quên m* nó đi. Giờ mở app lên chỉ thấy thuật toán lùa gà bằng drama và trend nhảm nhí.

9 thg 64 phút đọc
Đọc tiếp →
http, computer, hand, mobile, smartphone, web, touch, finger, display, www, internet, looking for, web address, pc, browser, search engine, data, programming, worldwide, networking
Công nghệChuyện Nghề

Ladybird Đổi Quy Trình Lên Đồ: Tham Vọng Đấm Vỡ Mõm Chromium?

Trình duyệt Ladybird tuyên bố thay đổi toàn bộ quy trình phát triển. Hóng hớt Hacker News và bài học xương máu cho anh em dev từ project cuối tuần lên hàng xịn.

5 thg 64 phút đọc
Đọc tiếp →
a man sitting in front of a laptop computer
Drama ITChuyện Nghề

Show HN Đang "Ngạt Thở" Vì Rác AI? Cuộc Chiến Giữa "Vibe Coding" Và Dev Thuần

Show HN đang bị AI làm loãng? Dân tình cãi nhau to về "Vibe Coding" vs Code thủ công. Dev chân chính nên khóc hay nên cười? Đọc ngay kẻo tối cổ.

18 thg 25 phút đọc
Đọc tiếp →