原文:Microsoft’s open source tools were hacked to steal passwords of AI developers
微软已经切断了对 GitHub 上托管的数十个开源项目的访问,因为它正在调查黑客如何明显破坏这些项目并将窃取密码的恶意软件注入代码中。
许多受影响的项目都与微软的云服务Azure以及开发人员使用AI开发应用程序进行编码的其他工具有关,例如Claude Code、Gemini的命令行界面和VS Code。
根据安全公司 Cloudsmith 和社区驱动的恶意软件分析网站 OpenSourceMalware(它们是最先举报该黑客事件的网站)的说法,当黑客在人工智能编码应用程序中打开受感染的工具时,该恶意软件允许黑客窃取用户的密码和其他敏感凭据。
目前尚不清楚有多少人下载了受影响的工具。
404 Media 最先报道称,微软确认已撤回该存储库。微软发言人承认收到了我们的电子邮件,但没有立即发表评论。
根据尝试访问 GitHub(微软拥有的代码托管网站)上的项目页面时加载的消息,至少 70 个属于微软的项目已被“禁用”。 “由于违反了 GitHub 的服务条款,GitHub 员工已禁止访问此存储库。”
图片来源:TechCrunch /
这是近几个月来黑客破坏广泛流行的开源项目的最新例子,目的是向计算机上安装了代码的大量用户植入恶意软件。这些黑客攻击被称为“供应链”攻击,因为它们的目标是大量软件产品中经常使用的代码,或者由特定类型的用户使用,这可能有利于黑客攻击,因为他们有时可以访问云系统和大量客户数据。
虽然开源项目的唯一开发者成为黑客攻击目标的情况并不罕见——在某些情况下,这是为了赢得开发者信任而长期努力的一部分——但对于像微软这样的大型科技巨头来说,这种情况并不罕见,