請更新您的瀏覽器

您使用的瀏覽器版本較舊,已不再受支援。建議您更新瀏覽器版本,以獲得最佳使用體驗。

微軟 GitHub 多個開源專案遭駭客入侵,包含 Azure 與 AI 常用工具都被植入盜帳號木馬

T客邦

更新於 06月24日13:14 • 發布於 06月12日03:00 • NetEase

微軟旗下開源專案驚傳遭駭,惡意軟體鎖定 AI 開發者意圖竊取系統密碼。此次微軟緊急封鎖數十個受污染的開源程式庫,避免惡意軟體擴散,專家提醒 AI 開發者務必加強程式審查並留意帳號密碼安全。

微軟(Microsoft)近期緊急下架了 GitHub 上的數十個開源專案程式碼庫,以徹底調查駭客是如何成功入侵這些專案並暗中植入專門竊取密碼的惡意軟體。

根據初步分析,這波受影響的專案主要與微軟的 Azure 雲端服務以及一系列人工智慧(AI)開發工具有關,其中更包含了用於整合 Claude Code、Gemini 命令行介面,以及 VS Code 等熱門 AI 程式編碼應用的相關核心組件。

微軟 GitHub 多個開源專案遭駭客入侵,包含 Azure 與 AI 常用工具都被植入盜帳號木馬

這次的攻擊行動最早是由資安公司 Cloudsmith 以及由社群驅動的惡意軟體分析網站 OpenSourceMalware 所發現。相關的技術分析指出,攻擊者極具針對性地在這些受感染的工具中植入了惡意程式碼;一旦不知情的開發者在本地端透過 AI 程式編碼應用打開了這些受污染的工具,惡意程式便會在背景悄悄啟動,並嘗試竊取使用者的系統密碼及其他極具價值的敏感憑證。

截至目前為止,尚不清楚確切有多少名開發者已經下載並實際執行了這些被惡意竄改的工具。

GitHub 封鎖逾 70 個相關專案,微軟展開內部調查

針對此一嚴重的資安事件,微軟官方已證實,基於最高級別的安全考量,公司已經主動移除了相關的程式碼庫。

微軟發言人 Ben Hope 在向媒體說明時表示,公司「在持續調查潛在惡意內容的過程中,已經暫時移除了部分的程式碼倉庫」。他進一步補充說明,在經過嚴格的安全複核後,部分確認無虞的倉庫已經恢復上線,但仍有部分專案將繼續保持下線狀態,直到所有後續的安全排查工作全數完成為止。

根據微軟的說法,在內部的追蹤調查過程中,公司已經主動通知了「一小部分可能曾經從受影響的程式碼倉庫中拉取過內容的客戶」。

微軟強調,他們將會持續推進調查工作,一旦發現存在任何需要客戶立即採取防護行動的高風險情況,將會直接透過既有的官方支援管道與相關客戶取得聯繫。然而,對於確切受影響的客戶數量與範圍,微軟目前仍拒絕透露進一步的詳細資料。目前若嘗試造訪部分微軟名下的 GitHub 專案頁面,系統會顯示至少有 70 個相關專案已被 GitHub 官方基於服務條款予以「停用」或封鎖。

令人擔憂的是,這已經是微軟在近幾週內第二次被爆出開源專案遭到駭客入侵。早在 5 月中旬,其開源專案 Durable Task 就曾被揭露遭植入惡意程式碼,而資安專家指出這次的事件極可能是該專案的「再次淪陷」。

這不僅意味著微軟在首次處置時可能未能徹底清除威脅,也暴露出當前在管理龐大且複雜的開源生態系時,即便是科技巨頭也面臨著巨大的盲點。未來,企業與開發者在引入任何開源組件時,勢必需要建立更為嚴格且自動化的程式碼安全審查機制,不能單純因為該專案掛著大廠的招牌就照單全收。

想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@

查看原始文章

更多科技相關文章

01

傳奇女飛行員馮克辭世 享壽87歲

路透社
02

Meta自研AI晶片9月量產 台積電代工降低對輝達依賴

路透社
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...