微软已切断其在GitHub上托管的数十个开源项目的访问权限,以调查黑客如何入侵这些项目并在代码中植入窃取密码的恶意软件。
受影响的许多项目与微软的云服务Azure及其他供开发者使用的AI开发应用工具相关,如Claude Code、Gemini的命令行界面和VS Code。
据安全公司Cloudsmith和社区驱动的恶意软件分析网站OpenSourceMalware报道,这些机构最早发现了此次攻击。恶意软件使黑客能够在用户打开受感染工具的AI编码应用时窃取其密码及其他敏感凭证。
目前尚不清楚有多少用户下载了受影响的工具。
微软确认已下架相关代码库,最初由404 Media报道。
微软发言人Ben Hope向TechCrunch表示,公司“在调查潜在恶意内容期间,暂时移除了一些代码库。”
“部分代码库在审查后已恢复,而其他的可能仍会保持离线状态,工作仍在继续。”
“作为调查的一部分,我们已通知少数可能下载了受影响代码库内容的客户。我们将继续调查,如果发现需要客户采取行动的情况,会通过既定支持渠道直接联系。”
微软未立即透露受影响客户的具体数量。
在GitHub上尝试访问这些项目页面时,会看到至少70个微软项目被“禁用”的提示,显示“因违反GitHub服务条款,该代码库访问已被GitHub工作人员禁用。”
这是近几个月来黑客入侵广受欢迎的开源项目的最新案例,目的是在大量安装了这些代码的用户设备上植入恶意软件。这类攻击被称为“供应链攻击”,因为它们针对的是被广泛使用的软件代码,或特定用户群体,这些用户可能拥有云系统访问权限及大量客户数据,因此成为攻击的重点目标。
虽然单个开源项目开发者被黑客攻击并不罕见——有时是黑客长期努力赢得开发者信任的一部分——但像微软这样拥有丰富资源防御此类攻击的大型科技公司遭到入侵则较为罕见。
据Ars Technica报道,这是微软在过去几周内第二次已知的开源项目被黑客入侵事件。五月中旬,安全研究人员发现微软的开源项目Durable Task被攻破,该工具帮助开发者构建应用。OpenSourceMalware称微软此次事件是对Durable Task项目的“再次入侵”,暗示微软首次尝试可能未能彻底清除黑客,或此次是一次全新的独立攻击。
(本文已更新微软官方评论)
