Microsoft відключила доступ до десятків своїх проєктів з відкритим кодом на GitHub, оскільки розслідує, як хакерам вдалося зламати ці репозиторії та вбудувати в код шкідливе програмне забезпечення для викрадення паролів.
Багато з уражених проєктів пов’язані з хмарним сервісом Microsoft Azure та іншими інструментами, які розробники використовують для роботи з AI-додатками: зокрема Claude Code, командним інтерфейсом Gemini та редактором VS Code.
За даними компанії Cloudsmith та ком’юніті-платформи для аналізу шкідливого ПЗ OpenSourceMalware, які одними з перших зафіксували атаку, вбудоване в інструменти шкідливе ПЗ дозволяло зловмисникам викрадати паролі користувачів та інші чутливі облікові дані, коли ті відкривали скомпрометовані інструменти у своїх AI-середовищах розробки.
Наразі невідомо, скільки людей завантажили уражені інструменти.
Microsoft підтвердила, що прибрала репозиторії, про що першою повідомила 404 Media.
Представник Microsoft Бен Гоуп заявив TechCrunch, що компанія «тимчасово видалила деякі репозиторії, оскільки ми розслідували потенційний зловмисний контент».
«Деякі з цих репозиторіїв були відновлені після перевірки, тоді як інші можуть залишатися офлайн, доки робота триває».
«У межах нашого розслідування ми повідомили невелику кількість клієнтів, які могли завантажити вміст з уражених репозиторіїв. Ми продовжимо розслідування і, якщо буде виявлено щось додаткове, що вимагатиме дій з боку клієнтів, ми зв’яжемося з ними безпосередньо через наші звичні канали підтримки», — додав Гоуп.
Microsoft не надала точну кількість постраждалих клієнтів на запит TechCrunch.
Принаймні 70 проєктів, що належать Microsoft, були «відключені» — про це свідчить повідомлення, яке з’являється при спробі доступу до відповідних сторінок на GitHub, сервісі хостингу коду, що належить Microsoft: «Доступ до цього репозиторію був відключений співробітниками GitHub через порушення умов надання послуг GitHub».
Цей інцидент — черговий приклад за останні місяці, коли хакери зламують популярні проєкти з відкритим кодом, щоб розмістити в них шкідливе ПЗ і вразити велику кількість користувачів, які встановили цей код на свої комп’ютери. Такі атаки називають атаками на ланцюги постачання (supply chain), оскільки вони спрямовані на код, який часто використовується у великій кількості програмних продуктів або певними категоріями користувачів. Злам таких цільових груп може бути особливо привабливим, адже вони інколи мають доступ до хмарних систем і великих масивів даних клієнтів.
Хоча не є чимось незвичним, коли окремі незалежні розробники проєктів з відкритим кодом стають мішенню хакерів — інколи в межах тривалих спроб завоювати довіру розробника, — подібні успішні атаки на великих технологічних гігантів на кшталт Microsoft трапляються значно рідше. Такі компанії зазвичай мають значні ресурси для захисту від подібних загроз.
За даними Ars Technica, це вже другий за останні тижні відомий злам, унаслідок якого хакерам вдалося скомпрометувати проєкти Microsoft з відкритим кодом. У середині травня дослідники безпеки повідомили, що проєкт Microsoft Durable Task — інструмент, який допомагає розробникам будувати додатки, — було зламано. Платформа OpenSourceMalware назвала останній інцидент Microsoft «повторною компрометацією» Durable Task, припустивши, що Microsoft або не повністю усунула зловмисників під час першої атаки, або йдеться про абсолютно новий, окремий злам.
Матеріал оновлено коментарем від Microsoft.