游乐游手机版
首页/AI热点日报/热点详情

微软GitHub开源项目遭黑客入侵 恶意程序窃取密码

类型:热点整理2026-07-11
微软托管在GitHub上的数十个开源项目遭黑客入侵,攻击者在代码中植入恶意程序,可窃取用户密码等敏感信息。受影响项目主要涉及Azure云服务及AI开发工具。微软已封锁相关仓库并展开调查,目前已恢复部分仓库访问。安全机构指出,这是近期的第二次类似事件,凸显了供应链攻击对开源生态的持续威胁。尽管微软已通

近期,微软在GitHub上托管的数十个开源项目被曝遭黑客入侵,攻击者向代码中植入了专门窃取密码等敏感数据的恶意程序。微软已紧急响应,封锁了相关项目的访问权限,并启动全面调查。

微软GitHub开源项目遭黑客入侵,恶意程序可窃取用户密码

本次受影响的项目主要涉及微软云服务Azure及部分AI应用开发工具,如Claude Code、Gemini命令行界面和VS Code等。安全服务商Cloudsmith与开源恶意软件分析社区OpenSourceMalware率先披露了此次攻击。他们指出,当开发者在AI编程工具中执行这些被篡改的程序时,恶意代码便会激活,窃取用户的登录密码及其他关键账户凭证

微软官方回应与调查进展

科技媒体404 Media首先曝出此事后,微软发言人本·霍普向TechCrunch确认,公司已下架相关代码仓库。霍普称:“为了排查潜在的恶意内容,我们暂时移除了部分代码仓库。经过核查,部分仓库现已重新开放,其余仍保持下线,调查工作仍在进行中。”

霍普还表示,调查期间微软已通知少数曾下载问题仓库内容的用户。后续若发现其他需要用户配合处理的风险,将通过官方正规服务渠道直接联系相关人员。不过,当被问及受影响用户的具体数量时,微软尚未给出明确回应。

供应链攻击风险持续升级

目前,访问这些被封锁的项目页面会看到提示,显示微软至少有70个项目已被停用,理由是“违反GitHub服务条款”。近几个月来,针对热门开源项目的供应链攻击事件层出不穷。此类攻击的特点是黑客瞄准广泛使用的核心代码发起入侵,一旦得手,便能通过软件更新渠道将恶意程序植入海量用户设备。

开源项目的独立开发者被攻击并不少见,但像微软这样拥有强大安全防护能力的科技巨头,其自身开源项目遭到入侵的情况实属罕见。值得注意的是,这是近几周内微软开源项目第二次被曝出安全事件。今年5月中旬,微软面向开发者的应用开发工具Durable Task开源项目就曾遭遇攻击。

OpenSourceMalware社区分析认为,此次事件可能是该项目的二次沦陷,这意味着微软在初次处置时或许并未彻底消除黑客威胁,也可能是一次全新的独立入侵。这一系列事件凸显了软件供应链安全的严峻挑战,即使是大公司的官方项目也并非绝对安全。

来源:IT之家

相关热点

继续查看同栏目近期热点。

延伸阅读

补充最近整理过的热点入口。