这起安全事件发生在2025年6月9日,微软被迫紧急封锁了其托管在GitHub平台上的数十个开源项目。据调查,黑客疑似潜入这些项目,并在代码中暗中植入了专门用于窃取密码的恶意程序,微软目前正就此展开深入排查。
受影响的项目大多与微软云服务Azure相关,此外还包括一些开发者用于借助人工智能开发应用程序的工具,例如Claude Code、Gemini的命令行界面以及VS Code。
此次入侵最早由安全服务商Cloudsmith和开源恶意软件分析社区OpenSourceMalware联合曝光。两家机构指出,当用户在AI编程工具中运行被篡改过的程序时,恶意软件便会悄无声息地窃取用户的登录密码及其他敏感账号凭证。
目前尚不清楚究竟有多少用户下载过这些被污染的工具。
科技媒体404 Media率先报道了此事,随后微软也证实已下架相关代码仓库。
微软发言人本·霍普(Ben Hope)在接受TechCrunch采访时表示:“为了排查潜在的恶意内容,我们临时移除了部分代码仓库。经过核查,一些仓库已恢复访问,其余将继续下线,调查工作正在持续推进。”
霍普补充道:“在调查过程中,我们已经通知了少数曾下载问题仓库内容的用户。未来若发现其他需要用户配合处理的风险,我们将通过官方正规服务渠道直接与相关人员取得联系。”
至于受影响用户的具体数量,微软方面暂时未予回应。
GitHub是微软旗下的代码托管平台。目前点击这些项目页面,会看到提示信息:微软至少有70个项目已被停用,原因标注为“因违反GitHub服务条款,本仓库已被平台工作人员禁用”。
近几个月来,这类攻击事件屡见不鲜——黑客瞄准热门开源项目,向大量安装了该代码的电脑用户设备植入恶意软件。这种攻击方式被称为供应链攻击:黑客专门攻击那些被多个软件或特定群体广泛使用的代码。这类代码的使用者往往能够访问云端系统,手中掌握着大量用户数据,因此成为黑客的重点目标。
开源项目的独立开发者遭遇黑客攻击并不罕见,有些黑客甚至会长期伪装,先获取开发者的信任再实施攻击。但像微软这样安全防护能力较强的科技巨头,其自身开源项目也被成功入侵,确实较为少见。
值得关注的是,这已是近几周内微软开源项目第二次被曝出遭黑客入侵。早在今年5月中旬,安全研究人员就发现微软面向开发者的应用开发工具Durable Task开源项目受到攻击。OpenSourceMalware认为,此次入侵实际上是同一个项目再次失守,说明微软第一次处理时可能并未彻底清除黑客威胁,当然也不排除这是一次全新的攻击。
