微软近日封禁GitHub上数十个开源项目,因黑客注入恶意代码窃取用户密码。受影响项目多与Azure及AI开发工具(Claude Code、Gemini CLI、VS Code)相关,这是微软数周内第二次遭供应链攻击。
据 TechCrunch 报道,微软已切断其托管在 GitHub 上的数十个开源项目的访问,理由是正在调查黑客入侵事件——攻击者在这些仓库中注入了能够窃取用户密码的恶意软件。受影响的许多项目与微软 Azure 云服务以及 AI 开发工具相关,包括 Claude Code、Gemini 命令行界面和 VS Code。安全公司 Cloudsmith 及社区恶意软件分析网站 OpenSourceMalware 最先发现此事,并指出当用户在 AI 编码应用中打开被篡改的工具时,恶意代码便会窃取密码及其他敏感凭证。微软发言人 Ben Hope 向 TechCrunch 证实,公司“临时移除了一些仓库以调查潜在恶意内容”,部分仓库已恢复,其余仍处于离线状态。微软还通知了少数可能从受影响仓库下载了内容的客户,但未透露具体受影响人数。截至目前,GitHub 上至少有 70 个微软项目被标记为“已禁用”。
这是近几个月来黑客针对流行开源项目发起的又一起供应链攻击,目标是通过感染广泛使用的代码来大范围植入恶意软件。与常见针对个人开发者的攻击不同,此次微软自身成为受害者——一家拥有充足防御资源的大型科技公司被攻破,实属罕见。这也是微软在数周内第二次遭遇此类事件。据 Ars Technica 报道,5 月中旬微软的开源项目 Durable Task(帮助开发者构建应用的工具)就曾遭黑客入侵。OpenSourceMalware 称此次事件是 Durable Task 的“再次沦陷”,暗示微软可能未在第一次攻击中彻底清除黑客,或是发生了全新的入侵。安全专家提醒 AI 开发者谨慎检查近期从微软 GitHub 仓库下载的工具。
原文链接: https://techcrunch.com/2026/06/08/microsofts-open-source-tools-were-hacked-to-steal-passwords-of-ai-developers/