Microsoft Отключил Десятки Открытых Репозиториев На Github После Расследования Вредоносной Атаки

Ключевые выводы

• Microsoft временно отключил более 70 открытых репозиториев на GitHub после обнаружения в них кода‑червя, который крал учётные данные.
• Заражённые проекты включают инструменты для Azure, VS Code, Claude Code и Gemini CLI – популярные решения для разработки с ИИ.
• Это уже вторая за несколько недель серьёзная «supply chain» атака на открытый код Microsoft; последствия могут затронуть тысячи разработчиков, использующих эти библиотеки.

Microsoft объявила о закрытии десятков репозиториев, потому что в них оказался вредоносный модуль, способный украсть пароли. Инцидент показывает, как даже гиганты могут стать жертвами атак на поставочную цепочку.

Что случилось: отключение репозиториев и первая реакция

В начале июня Microsoft обнаружила, что кода в ряде открытых проектов на GitHub был подменён злонамеренным скриптом. По словам исследователей из Cloudsmith и OpenSourceMalware, вредоносный модуль «Miasma» внедрялся в инструменты, которыми разработчики пользовались для написания кода с помощью ИИ‑моделей.

GitHub сразу же отключил доступ к более 70 репозиториям Microsoft. При попытке открыть страницу проекта пользователи видят сообщение: «Access to this repository has been disabled by GitHub Staff due to a violation of GitHub’s terms of service». Это официальное подтверждение того, что платформа считает инцидент серьёзным нарушением.

Microsoft официально заявила, что репозитории «выключены», однако подробностей о масштабе атаки пока нет. Представитель компании подтвердил получение запроса от наших редакторов, но комментариев пока не дал.

Самым тревожным является то, что вредоносный код уже мог попасть в руки разработчиков, которые скачали заражённые инструменты.

Какие проекты оказались под угрозой

Среди пострадавших – библиотеки, тесно связанные с облачной платформой Azure и инструментами разработки с поддержкой ИИ:

• Claude Code – клиентская утилита для работы с моделью Claude.
• Gemini CLI – командный интерфейс для Google Gemini.
• VS Code extensions – плагины, расширяющие возможности популярного редактора.
• Durable Task – библиотека, помогающая строить долгоживущие рабочие процессы в Azure.

Все эти инструменты часто включаются в цепочки CI/CD, поэтому заражение может быстро распространиться по проектам компаний‑пользователей.

Как работает «supply chain» атака и почему она опасна

«Supply chain» (поставочная цепочка) – это тип кибератаки, когда злоумышленник подменяет оригинальный код в публичных репозиториях. Пользователь, не подозревая о подмене, загружает библиотеку и запускает её в своём проекте. Если в коде скрыт «червь», он может выполнить любые действия: от кражи токенов до установки бекдоров.

В случае с Miasma‑worm хакеры добавили в пакеты функцию, которая при первом запуске просит у пользователя пароль и отправляет его на удалённый сервер. Таким образом, каждый, кто использует заражённый пакет в своих ИИ‑приложениях, стал потенциальной жертвой.

Проблема в том, что такие библиотеки часто имеют широкую аудиторию: от отдельных фрилансеров до крупных корпораций. Одна уязвимость может затронуть десятки тысяч проектов одновременно.

История атак на открытый код Microsoft

Это уже не первая «re‑compromise» атака на Microsoft за последние недели. В середине мая исследователи сообщили о компрометации проекта Durable Task. Тогда же было подозрение, что вредоносный код удалили, но новая проверка показала, что он вернулся.

Ситуация напоминает предыдущие инциденты с известными открытыми проектами, когда хакеры целенаправленно «выращивают» доверие к репозиторию, а затем вносят в него вредоносный код. Примером может служить длительная компрометация одного из самых популярных средств для разработки в мире, о которой писали в апреле.

Для Microsoft такие атаки особенно болезненны, потому что компания позиционирует себя как надёжного поставщика облачных и разработческих инструментов. Любой сбой подрывает доверие к её экосистеме.

Что делать разработчикам: проверка и минимизация риска

Если вы используете любой из перечисленных инструментов, выполните следующие шаги:

1. Проверьте, не находится ли ваш репозиторий в списке отключённых. На странице проекта GitHub появится соответствующее сообщение.
2. Обновите зависимости до последних версий, которые уже выпустили патчи от Microsoft.
3. Если вы скачали binaries до обновления, удалите их и переустановите с официальных источников.
4. Включите двухфакторную аутентификацию (2FA) для всех учётных записей, связанных с Azure и GitHub.
5. Запустите аудит доступа к секретам (токенам, паролям) в своих CI/CD пайплайнах. При появлении неизвестных запросов к внешним серверам – проверяйте логи.

Эти простые меры помогут ограничить потенциальный ущерб, если часть кода уже успела «прокрасться» в ваш проект.

Какие выводы делают эксперты по кибербезопасности

По мнению аналитиков из Cloudsmith, «Miasma» – это уже один из самых продвинутых червей, способный скрыться в процессе сборки и выжить даже после простых проверок кода. Они советуют компаниям внедрять автоматический сканер зависимостей и регулярно проверять подписи пакетов.

OpenSourceMalware подчеркивает, что такие атаки показывают, насколько важна цепочка доверия в открытом коде. Даже если у вас есть собственные ревью, вы всё равно полагаетесь на внешних контрибьюторов и автоматические пакеты.

Для Microsoft это сигнал, что текущие меры защиты поставочной цепочки требуют усиления – от более строгой верификации подписей до обязательного сканирования на уровне CI.

Справка

Microsoft Corporation – американская технологическая компания, основанная в 1975 году Биллом Гейтсом и Полом Алленом. На сегодняшний день Microsoft владеет Windows, Office, Azure и GitHub. Компания активно продвигает открытый исходный код, но несколько недавних инцидентов показали уязвимость её экосистемы.

GitHub – крупнейшая в мире платформа для хостинга кода, приобретённая Microsoft в 2018 году. Предоставляет репозитории, CI/CD, управление правами доступа и механизмы безопасности, такие как Dependabot.

Azure – облачная платформа Microsoft, включающая вычислительные ресурсы, базы данных и сервисы машинного обучения. Многие открытые проекты Microsoft служат вспомогательными библиотеками для Azure.

VS Code – бесплатный редактор кода, разработанный Microsoft. Имеет огромный каталог расширений, часть из которых включала компрометированные библиотеки.

Durable Task – библиотека для создания долгоживущих рабочих процессов в Azure Functions. В мае 2026 года была первой, чьи репозитории были признаны заражёнными.

Атака на открытый код напоминает нам, что безопасность – это постоянный процесс. Даже гиганты могут ошибаться, поэтому проверяйте каждую зависимость, особенно если она используется в критически важных проектах.