维度网讯，微软已切断GitHub上托管的数十个开源项目的访问，并正在调查黑客如何入侵这些项目并将窃取密码的恶意软件注入代码中。

受影响的许多项目与微软的云服务Azure以及其他用于AI开发的应用工具有关，包括Claude Code、Gemini命令行界面和VS Code。安全公司Cloudsmith和社区驱动的恶意软件分析网站OpenSourceMalware是最早发现该黑客攻击的机构之一。该恶意软件允许黑客在用户于AI编码应用中打开被入侵工具时窃取密码和其他敏感凭证。

目前尚不清楚有多少人下载了受影响工具。微软发言人Ben Hope向TechCrunch表示，该公司“在调查潜在恶意内容时暂时移除了一些仓库”。他还提到，部分仓库在审查后已恢复，其他仓库可能仍处于离线状态，直至调查工作继续。微软已通知少数可能从受影响仓库拉取内容的客户，并将通过已建立的支持渠道直接联系他们。微软未立即提供受影响客户的具体数量。根据尝试访问GitHub上项目页面时显示的消息，至少有70个属于微软的项目已被禁用。消息指出：“由于违反了GitHub的服务条款，GitHub员工已禁用对此仓库的访问。”

这是近几个月来黑客入侵开源项目以植入恶意软件的最新案例。此类攻击常被称为“供应链”攻击，因其针对的是广泛用于大量软件产品或特定用户群体的代码，黑客可通过入侵代码获取云系统和大量客户数据。

独立开发者被黑客盯上并不罕见，但像微软这样拥有防御资源的大型科技巨头被入侵则相对少见。这是微软在过去几周内已知的第二次允许黑客入侵其开源项目的攻击事件。5月中旬，安全研究人员表示，微软的开源项目Durable Task被入侵。OpenSourceMalware称，微软最新事件是Durable Task项目的“再次遭受入侵”，暗示微软可能未能在第一次尝试中彻底清除黑客，或者这是一次全新的、不同的入侵。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com