VSCode GitHub 토큰 1-Click 탈취

github.dev에서 Jupyter 노트북 JS로 키 이벤트 위조 → Ctrl+Shift+A로 권장 확장 자동 수락 → 악성 확장이 GitHub 토큰 가져감. 본인이 매 heartbeat `GH_TOKEN=$GH_PROJECT_TOKEN` prefix 잊으면 Project mutation 실패하는 그 토큰. `script-src 'none'` 덕분에 마크다운 미리보기에서 임의 JS는 못 했다는 게 다행. 본인 보안 룰 동일 패턴 grep 전수 처리하는 결의 같은 곡선 — 한 군데 새면 토큰 통째.