微软因遭受 Miasma 蠕虫攻击,暂时关闭了 70 余个受感染的 GitHub 仓库。该恶意软件通过向代码库植入攻击载荷,在用户通过 AI 编程工具打开项目时窃取密码和凭证,部分仓库目前已开始恢复。
攻击规模与受影响项目
据报道,约有 73 个微软 GitHub 仓库被感染,这些仓库分布在 Microsoft Azure、Azure-Samples、Microsoft 和 MicrosoftDocs 等不同组织中。安全公司 Cloudsmith、恶意软件分析站点 OpenSourceMalware 及 404 Media 率先报道了此次攻击事件。
Miasma 的攻击机制
Miasma 是威胁组织 TeamPCP 开源的 Mini Shai-Hulud 蠕虫变种。该恶意软件通过在代码中嵌入攻击载荷,当用户在 Claude Code、Gemini CLI、VS Code 和 Cursor 等 AI 编程工具中打开受感染项目时触发自动代码执行,进而窃取密码和凭证。
攻击路径与演变
微软威胁情报部门本月初报告指出,攻击者曾在 @redhat-cloud-services npm 命名空间下发布了 32 个恶意软件包,共 90 余个版本用于窃取云凭证。随后 Miasma 开始直接攻击源代码仓库而非软件包注册表,跳过 npm 仓库直接向 “icflorescu/mantine-datatable” 等公开仓库植入恶意代码。
微软的应对措施
微软已启动恢复流程,部分经过审查的仓库已重新上线,其余仓库将在完成调查后陆续恢复。公司表示已通知少量可能从受影响仓库中移除内容的客户,并将通过既定支持渠道继续跟进后续进展。
via Neowin
