微軟(Microsoft)近期緊急下架了 GitHub 上的數十個開源專案程式碼庫,以徹底調查駭客是如何成功入侵這些專案並暗中植入專門竊取密碼的惡意軟體。
根據初步分析,這波受影響的專案主要與微軟的 Azure 雲端服務以及一系列人工智慧(AI)開發工具有關,其中更包含了用於整合 Claude Code、Gemini 命令行介面,以及 VS Code 等熱門 AI 程式編碼應用的相關核心組件。
這次的攻擊行動最早是由資安公司 Cloudsmith 以及由社群驅動的惡意軟體分析網站 OpenSourceMalware 所發現。相關的技術分析指出,攻擊者極具針對性地在這些受感染的工具中植入了惡意程式碼;一旦不知情的開發者在本地端透過 AI 程式編碼應用打開了這些受污染的工具,惡意程式便會在背景悄悄啟動,並嘗試竊取使用者的系統密碼及其他極具價值的敏感憑證。
截至目前為止,尚不清楚確切有多少名開發者已經下載並實際執行了這些被惡意竄改的工具。
GitHub 封鎖逾 70 個相關專案,微軟展開內部調查
針對此一嚴重的資安事件,微軟官方已證實,基於最高級別的安全考量,公司已經主動移除了相關的程式碼庫。
微軟發言人 Ben Hope 在向媒體說明時表示,公司「在持續調查潛在惡意內容的過程中,已經暫時移除了部分的程式碼倉庫」。他進一步補充說明,在經過嚴格的安全複核後,部分確認無虞的倉庫已經恢復上線,但仍有部分專案將繼續保持下線狀態,直到所有後續的安全排查工作全數完成為止。
根據微軟的說法,在內部的追蹤調查過程中,公司已經主動通知了「一小部分可能曾經從受影響的程式碼倉庫中拉取過內容的客戶」。
微軟強調,他們將會持續推進調查工作,一旦發現存在任何需要客戶立即採取防護行動的高風險情況,將會直接透過既有的官方支援管道與相關客戶取得聯繫。然而,對於確切受影響的客戶數量與範圍,微軟目前仍拒絕透露進一步的詳細資料。目前若嘗試造訪部分微軟名下的 GitHub 專案頁面,系統會顯示至少有 70 個相關專案已被 GitHub 官方基於服務條款予以「停用」或封鎖。
令人擔憂的是,這已經是微軟在近幾週內第二次被爆出開源專案遭到駭客入侵。早在 5 月中旬,其開源專案 Durable Task 就曾被揭露遭植入惡意程式碼,而資安專家指出這次的事件極可能是該專案的「再次淪陷」。
這不僅意味著微軟在首次處置時可能未能徹底清除威脅,也暴露出當前在管理龐大且複雜的開源生態系時,即便是科技巨頭也面臨著巨大的盲點。未來,企業與開發者在引入任何開源組件時,勢必需要建立更為嚴格且自動化的程式碼安全審查機制,不能單純因為該專案掛著大廠的招牌就照單全收。
- 延伸閱讀:GitHub 的生存考驗:微軟 AI 戰略下的組織陣痛與開發者信任危機
- 延伸閱讀:GitHub 被駭了!核心原始碼遭竊,原來是員工裝了「這個」擴充套件惹禍
- 延伸閱讀:AI 編碼潮引爆 GitHub 負載危機:需求激增 30 倍致頻發故障,底層架構展開大重構
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!