微軟數十個 GitHub 專案遭污染,AI 程式工具成惡意程式藏身地
微軟多個開放原始碼專案於近日被發現遭入侵,攻擊者疑似在 GitHub 上植入可竊取密碼的惡意程式,導致微軟暫時關閉或移除數十個相關儲存庫。受影響的專案涵蓋 Azure 雲端服務,以及供開發者搭配 AI 編碼工具使用的多項工具,包括 Claude Code、Gemini 的指令列介面與 VS Code 等。
根據資安公司 Cloudsmith 與社群驅動的惡意程式分析網站 OpenSourceMalware 率先通報,這次惡意程式會在開發者開啟遭污染的專案時,竊取帳號密碼與其他敏感憑證。TechCrunch 報導指出,微軟已證實移除(或封鎖)受影響的儲存庫;當嘗試存取相關 GitHub 頁面時,至少有 70 個微軟專案顯示為「已被停用」,並出現「Access to this repository has been disabled by GitHub Staff due to a violation of GitHub's terms of service」的提示訊息。此一報導先前由 404 Media 揭露,並由 TechCrunch 後續確認。
這起事件被視為近期又一起針對熱門開放原始碼專案的供應鏈攻擊。此類攻擊通常鎖定被廣泛下載、安裝或使用的程式碼,以便讓惡意內容擴散到大量使用者裝置上。由於許多開發者會在雲端系統與客戶資料環境中使用這些工具,一旦憑證外洩,風險將被放大。
值得注意的是,這已是微軟短時間內第二起已知的開放原始碼專案遭入侵事件。TechCrunch 引述 Ars Technica 報導指出,今年 5 月中旬,微軟的開放原始碼專案 Durable Task 曾遭入侵;OpenSourceMalware 形容本次事件為對 Durable Task 的「再次入侵」(re-compromise),意指攻擊者可能仍保有先前取得的存取權,或已進行新的獨立滲透行動。
目前尚不清楚有多少使用者下載或啟用了受影響的工具,也無法立即得知是否有大規模憑證外流。微軟與相關單位的調查仍在進行中,建議開發者謹慎檢查所使用的套件與工具來源,並立即更換可能外洩的憑證。
Microsoft’s open source tools were hacked to steal passwords of AI developers
Miasma Worm Supply Chain Attack: 73 Microsoft GitHub Repositories Compromised via AI Coding Tools
Miasma Worm Hits 73 Azure GitHub Repos — AI Agents Now Targeted
Microsoft’s GitHub repositories taken offline amid Miasma supply chain attack
(首圖來源:Unsplash)