微软开源项目遭攻击植入密码窃取恶意代码

微软近日披露了一起针对其开源项目的供应链攻击事件，黑客成功入侵了数十个托管在GitHub上的微软开源仓库，并在其中注入了能够窃取用户密码的恶意代码。这一事件迅速引起了安全社区的广泛关注，因为受影响的项目与微软的Azure云服务以及AI开发工具紧密相关，包括Claude Code、Gemini命令行界面和VS Code等开发者常用工具。

根据安全公司Cloudsmith和社区驱动的恶意软件分析网站OpenSourceMalware的初步报告，当开发者在AI编码应用程序中打开被篡改的工具时，恶意代码便会激活，窃取用户的密码及其他敏感凭证。目前尚不清楚有多少用户下载了这些受影响的工具，但鉴于微软开源项目的广泛使用，潜在影响范围可能相当大。

微软发言人Ben Hope向TechCrunch证实，公司已经“暂时移除了一些仓库，以调查潜在恶意内容”。他表示：“经过审查，部分仓库已恢复上线，而其他仓库可能仍处于离线状态，以待进一步处理。”Hope补充道：“作为调查的一部分，我们已通知了少数可能从受影响仓库下载内容的客户。我们将继续调查，如果发现任何需要客户采取行动的情况，将通过既定的支持渠道直接联系他们。”当被问及受影响客户的具体数量时，微软没有立即提供。

访问这些受影响项目的GitHub页面时，会显示一条消息：“由于违反GitHub服务条款，GitHub工作人员已禁用对此仓库的访问。”据悉，至少有70个属于微软的项目被“禁用”。这一事件是近几个月来黑客入侵广受欢迎的开源项目、意图在大量用户计算机上植入恶意软件的最新案例。这类攻击被称为“供应链攻击”，因为它们针对的是经常被大量软件产品使用或特定类型用户使用的代码。对于黑客而言，攻击这类项目往往更有利可图，因为目标用户可能拥有对云系统和大量客户数据的访问权限。

虽然独立开源项目的开发者被黑客盯上并不罕见——有时黑客会通过长期努力来获取开发者的信任——但像微软这样拥有充足资源来防御此类攻击的大型科技巨头被攻破，则相对少见。据Ars Technica报道，这是微软在过去几周内第二次遭遇已知的、导致其开源项目被入侵的安全事件。早在五月中旬，安全研究人员就曾指出，微软的开源项目Durable Task（一个帮助开发者构建应用程序的工具）被黑客入侵。OpenSourceMalware表示，微软此次最新事件是同一系列攻击的延续，还是新的独立攻击，目前尚不清楚。

此次事件再次敲响了开源软件供应链安全的警钟。对于依赖微软开源工具进行AI开发的团队和个人而言，建议立即检查本地代码库，确认是否从受影响仓库拉取过代码，并及时更改相关密码和凭证。同时，开发者应保持警惕，在官方发布安全更新前，谨慎使用来自这些仓库的代码。微软方面表示，将继续深入调查，并承诺在发现任何需要客户采取行动的情况时，会通过既定渠道直接通知。