微軟開源工具遭入侵,疑似植入竊密惡意程式
微軟表示,旗下多個託管在 GitHub 的開源專案遭到入侵,該公司已暫時切斷部分儲存庫的存取權,並正調查是否有駭客在程式碼中植入可竊取密碼與敏感憑證的惡意程式。
受影響的專案與微軟的雲端服務 Azure,以及開發者常用的 AI 開發工具有關,包括 Claude Code、Gemini 的命令列介面與 VS Code 等使用情境。安全公司 Cloudsmith 與社群驅動的惡意軟體分析網站 OpenSourceMalware 先前率先通報這起事件,並指出惡意程式可能會在使用者透過 AI 程式開發工具開啟受影響專案時,竊取密碼與其他敏感資訊。
微軟發言人 Ben Hope 表示,公司「已暫時移除部分儲存庫,以調查可能存在的惡意內容」。他補充,其中一些儲存庫已在審查後恢復,其餘項目則可能在後續工作完成前維持離線。
Hope 也指出,微軟已通知少數可能曾下載受影響內容的客戶,若後續調查發現還有其他需要客戶採取行動的事項,會透過既有支援管道直接聯繫。
目前微軟尚未對外說明受影響客戶的確切數量。GitHub 頁面則顯示,至少有 70 個屬於微軟的專案已被停用,開啟時會出現提示,說明該儲存庫因違反 GitHub 服務條款而被 GitHub Staff 停用。
這起事件反映近年來供應鏈攻擊的持續升溫。駭客鎖定廣泛使用的開源專案,目的是讓惡意程式擴散到更多安裝這些程式碼的使用者電腦上。由於部分開發者與企業使用者會透過這些工具連接雲端系統或處理大量資料,一旦被植入惡意程式,影響範圍可能不只侷限於單一開發環境。
這也是微軟在短期內第二起已知的開源專案遭入侵事件。Ars Technica 先前報導,研究人員在 5 月中旬指出,微軟的開源專案 Durable Task 曾遭入侵。OpenSourceMalware 認為,這次事件可能是 Durable Task 的再次被入侵,也可能是另一個獨立的入侵案,目前仍有待進一步釐清。