微软开源工具被黑客利用,AI开发者密码惨遭窃取
【编者按】开源生态本应促进技术共享与协作,但近日微软遭遇的“供应链投毒”事件为所有依赖开源项目的企业敲响警钟。黑客将恶意代码伪装成正常功能,渗透至微软官方GitHub仓库,直接威胁云端和AI开发工具链。这不仅是技术漏洞,更暴露了大型科技公司在代码安全审核上的脆弱性。当全球开发者信任的“源头”遭污染,每行代码都可能成为攻击跳板。本文揭露的事件细节,值得每一位技术从业者反思:在追求效率时,我们是否忽视了安全底线的守卫?以下为事件完整报道——
微软已封锁其托管在GitHub上的数十个开源项目,以调查黑客如何突破这些项目,并将窃取密码的恶意代码植入其中。受影响的项目多与微软云服务Azure及开发者用于AI编程的工具(如Claude Code、Gemini命令行界面及VS Code)相关。
据率先披露此事件的安全公司Cloudsmith和社区驱动的恶意软件分析网站OpenSourceMalware称,当用户在AI代码应用中使用这些被入侵工具时,恶意代码会自动窃取密码、敏感凭证等关键信息。目前尚不清楚有多少用户下载了受影响工具。
微软随后确认已紧急撤回仓库(该消息由404 Media首次报道)。微软发言人本·霍普向TechCrunch表示:“我们已临时下架部分仓库以排查潜在恶意内容。其中一些仓库经审查后已恢复,另一些则需继续处理,可能仍处于下线状态。作为调查一环,我们已通知少量可能下载了受影响仓库内容的客户。若发现需客户采取进一步行动的问题,我们将通过既有支持渠道直接联系。”当被问及受影响客户具体数量时,微软未立即回应。
记者在试图访问微软GitHub页面(微软旗下代码托管平台)时,至少70个微软旗下项目显示“已禁用”状态。页面弹出提示:“由于违反GitHub服务条款,此仓库已被GitHub员工禁用。”
这是近期黑客针对热门开源项目发起的最新攻击案例——目的正是对大量用户实施“供应链投毒”。黑客通过攻击软件产品中广泛使用的代码,或瞄准拥有云系统访问权限及海量客户数据的特定用户群体,形成攻击链。虽然个人开发者常被黑客盯上(有些攻击甚至需要长期获取开发者信任),但像微软这样资源雄厚、能抵御此类攻击的科技巨头遭入侵仍属罕见。
据Ars Technica,这已是微软过去几周内第二次被黑客攻陷开源项目。5月中旬,安全研究人员曾指出微软开源项目Durable Task(帮助开发者构建应用的工具)遭黑客入侵。OpenSourceMalware认为,本次事件实为该项目的“二次沦陷”,暗示微软首次净化未彻底清除黑客,或发生了完全不同的新入侵事件。
本文由吉伊网原创发布,未经许可,不得转载!
本文链接:http://www.jkiyi.com/kx/63351.html
