Ett klick räcker: Så kapas ditt GitHub-konto utan att du märker något

Ett klick. Det är allt som krävs.

Föreställ dig att du får en länk till en Jupyter-anteckningsbok. Du klickar. Ingenting verkar hända. Men i bakgrunden har dold kod precis simulerat tangenttryckningar, installerat ett skadligt tillägg och skickat iväg din GitHub-åtkomstnyckel till en okänd angripare — som nu har full läs- och skrivbehörighet till samtliga dina kodarkiv, inklusive de privata.

Det är inte ett tankeexperiment. Det är den sårbarhet som säkerhetsforskaren Ammar Askar avslöjade i Microsofts populära kodredigerare Visual Studio Code, enligt SecurityWeek. Angreppet riktar sig mot github.dev — den webbläsarbaserade lättviktsversionen av VS Code — och kräver i princip ingen teknisk insats från offrets sida. Den enda varning som visas är ett meddelande om tilläggsbehörighet, och enbart om användaren aldrig tidigare besökt tjänsten.

Hur angreppet faktiskt fungerar

Det som gör sårbarheten så elegant och obehaglig på samma gång är kombinationen av tillit och automation. VS Code är byggt för att vara smidigt — och det är just den smidigheten som utnyttjas. En manipulerad anteckningsbok kan injicera syntetiska tangenttryckningar i gränssnittet, vilket i praktiken låter angriparen "skriva" kommandon som om de vore användaren.

Skrivbordsversionen av VS Code är också sårbar, men svårare att utnyttja och kräver fler åtgärder från offrets sida. I gengäld kan ett lyckat angrepp mot skrivbordsversionen leda till fullständig fjärrstyrning av datorn — ett betydligt allvarligare utfall. Enligt SecurityWeek saknar skrivbordsversionen fortfarande en fullständig åtgärd.

Askar valde dessutom att publicera tekniska detaljer och ett fungerande angreppsprogram utan att i förväg kontakta Microsoft — ett beslut som väcker frågor om ansvarsfull hantering av säkerhetsbrister, men som också sätter press på leverantörer att agera snabbt.

Cisco: Attackkoden är redan ute

Nästan parallellt rapporterar SecurityWeek om en annan allvarlig sårbarhet — den här gången i Ciscos kommunikationsplattform Unified Communications Manager (Unified CM). Bristen, spårad som CVE-2026-20230, får ett allvarlighetsvärde på 8,6 av 10 och beror på bristfällig kontroll av indata i vissa HTTP-anrop.

Det oroväckande i det här fallet är inte bara sårbarhetens allvar — utan att fungerande angreppsverktyg redan cirkulerar öppet, trots att inga bekräftade angrepp ännu rapporterats. En lyckad attack kan ge inkräktare möjlighet att skriva filer direkt till det underliggande operativsystemet och eskalera sina behörigheter till systemnivå, det vill säga fullständig kontroll över enheten.

En förmildrande omständighet finns: enbart enheter där tilläggsfunktionen WebDialer är aktiverad berörs, och den är avstängd som standard. Cisco har åtgärdat problemet i version 14SU6 av Unified CM och Unified CM SME, med ytterligare rättningar planerade till version 15SU5 i september.

Två brister, ett gemensamt mönster

De här två sårbarheterna är tekniskt sett ganska olika — en utnyttjar tillit i ett webbaserat utvecklingsverktyg, den andra ett klassiskt problem med otillräcklig indatakontroll i ett företagssystem. Men de delar ett viktigt mönster: de påminner oss om att komplexitet föder sårbarheter, och att populäritet gör dem farliga.

VS Code är idag ett av världens mest använda verktyg bland programmerare — inte minst i AI-drivna arbetsflöden där utvecklare jobbar med notebooks, modellkod och träningsdata dagligen. GitHub-tokens är i det sammanhanget nycklar till hela produktionskedjor. Och Cisco Unified CM används av tusentals företag globalt för intern kommunikation.

Det är ingen slump att angripare riktar in sig på just dessa system. Det är precis där flödena är störst, och skadepotentialen är som högst.

Vad du bör göra nu

Om du använder github.dev eller VS Code med GitHub-integration: var försiktig med okända anteckningsböcker och kontrollera vilka tillägg som är installerade. För Cisco-användare gäller det att omedelbart uppdatera till version 14SU6 och se över om WebDialer är aktiverat i er miljö.