微软在GitHub上的数十个开源项目近日遭黑客入侵并被植入用于窃取用户密码的恶意代码。安全公司Cloudsmith与OpenSourceMalware首先发现异常,受影响项目主要涉及Azure云服务及多款AI开发工具组件,包括与Claude Code、Gemini命令行界面及VS Code等AI编码应用相关的集成工具。黑客通过篡改代码实施软件供应链攻击,当开发者在本地调用相关工具时,恶意程序可能窃取本地密码及敏感凭据。微软已临时下线至少70个代码仓库并展开安全调查,部分仓库完成复核后恢复上线,同时已向可能下载受影响内容的少量用户发出安全通知。
