Dois zero-days em ferramentas de desenvolvimento — o VS Code (github.dev) e o Claude Code GitHub Action — expõem repositórios privados ao sequestro com um único clique. Em ambos os casos, atacantes exploram falhas de confiança entre interfaces web e tokens OAuth para obter acesso total ao código-fonte de organizações inteiras. As vulnerabilidades foram divulgadas em junho de 2026.
Ferramentas de IA viram vetor
Ferramentas de IA integradas ao fluxo de desenvolvimento se tornaram o alvo mais recente de atacantes. Nos últimos dias, duas vulnerabilidades independentes mostram que o modelo de confiança entre editores baseados na web e plataformas de hospedagem de código carrega riscos sistêmicos. A pesquisa de Ammar Askar sobre o github.dev e o trabalho de RyotaK sobre o Claude Code GitHub Action revelam padrões sobrepostos: manipulação de tokens de autenticação, bypass de controles de permissão e cadeias de suprimentos comprometidas.
O ataque ao github.dev
A vulnerabilidade do github.dev, divulgada em 3 de junho por Askar, explora o sistema de passagem de mensagens entre a janela principal do VS Code e as webviews — componentes usados para renderizar previews de Markdown e notebooks Jupyter. O atacante envia um link malicioso. Ao ser clicado, JavaScript malicioso executa dentro de uma webview e simula keypresses no editor, abrindo a paleta de comandos e instalando uma extensão controlada pelo atacante sem diálogo de confirmação.
A mecânica central é um recurso chamado local workspace extensions: extensões na pasta .vscode/extensions instalam sem diálogo de confiança, contornando a verificação de publisher. Conforme Askar explicou, o atacante contribui keybindings extras via package.json para acionar comandos arbitrários do VS Code.
A extensão extrai o token OAuth que o github.com envia ao github.dev. Esse token não é limitado ao repositório específico — concede leitura e escrita a todos os repositórios que o usuário acessa. O proof-of-concept foi publicado no GitHub com código funcional.
Claude Code: um issue basta
RyotaK da GMO Flatt Security revelou que o Claude Code GitHub Action da Anthropic continha uma falha que permitia sequestrar repositórios com um único issue aberto. O workflow, usado para triagem automática de issues e review de código, recebe por padrão acesso de leitura e escrita ao código, issues, pull requests e arquivos de workflow.
O atacante registrava um bot malicioso, abria um issue com prompt injection e exfiltrava credenciais OIDC do workflow — tokens assinados que comprovam a identidade da execução. Esses tokens eram trocados com o backend da Anthropic por um token de instalação do Claude GitHub App com acesso de escrita. O repositório do próprio Anthropic, claude-code-action, usava o mesmo workflow vulnerável, o que significava que um ataque bem-sucedido poderia envenenar a action e propagar código malicioso para todos os projetos downstream.
A Anthropic corrigiu a vulnerabilidade em janeiro de 2026, quatro dias após o relato, com endurecimento adicional na primavera. A correção está na versão 1.0.94 do claude-code-action. A divulgação pública foi feita em 4 de junho.
Vulnerabilidades comparadas
| Aspecto | VS Code (github.dev) | Claude Code GitHub Action |
|---|---|---|
| Tipo | XSS via webview message-passing | Prompt injection + exfil de OIDC |
| Vetor de ataque | Um clique em link malicioso | Um issue no GitHub |
| Acesso obtido | Token OAuth (todos os repositórios) | Token de instalação com escrita |
| Impacto na cadeia | Roubo de código-fonte privado | Supramente chain poisoning |
| Patch | Não disponível (junho/2026) | v1.0.94 (jan/2026) |
| Pesquisador | Ammar Askar | RyotaK (GMO Flatt Security) |
Cronologia das revelações
- Jan 2026 — RyotaK relata a falha do Claude Code à Anthropic
- Jan 2026 — Anthropic aplica correção inicial quatro dias depois
- Primavera 2026 — Anthropic adiciona endurecimento adicional na action
- 2 jun 2026 — Askar abre issue notificando falha do github.dev
- 3 jun 2026 — Divulgação pública com PoC funcional do VS Code zero-day
- 3 jun 2026 — Microsoft reconhece o problema; sem patch disponível
- 4 jun 2026 — Divulgação pública da pesquisa do Claude Code
Medidas de proteção
Para o github.dev: limpe cookies e dados locais do site. No Chrome, clique no ícone de configurações na barra de endereço, vá em “Cookies e dados do site”, gerencie dados do dispositivo e remova os dados de github.dev. Isso força um prompt de autorização sempre que uma extensão tentar acessar o GitHub, permitindo detectar tentativas de exploração.
Para o Claude Code GitHub Action: atualize imediatamente para a versão 1.0.94 ou superior. Repositórios que usam Claude Code para automação de CI/CD devem auditar workflows para garantir que variáveis sensíveis, especialmente credenciais OIDC, não estejam expostas a inputs de usuários externos.
Organizações devem revisar o escopo de permissões concedido a ferramentas de IA no pipeline de desenvolvimento e implementar o princípio de menor privilégio para tokens OAuth e credenciais de workflow.
Fontes e referências
- BleepingComputer — VS Code zero-day lets hackers steal GitHub tokens in one click (jun 2026)
- The Hacker News — One-Click GitHub Dev Attack Lets Attackers Steal Full GitHub OAuth Tokens (jun 2026)
- The Hacker News — Claude Code GitHub Action Flaw Let One Malicious Issue Hijack Repositories (jun 2026)
- GMO Flatt Security — Poisoning Claude Code: One GitHub Issue to Break the Supply Chain (jun 2026)
- TNW — Claude Code GitHub Action flaw enabled repository hijacking (jun 2026)