Microsoft Отключил Десятки Открытых Репозиториев На Github После Расследования Вредоносной Атаки

Ключевые выводы

  • Microsoft временно отключил более 70 открытых репозиториев на GitHub после обнаружения в них кода‑червя, который крал учётные данные.
  • Заражённые проекты включают инструменты для Azure, VS Code, Claude Code и Gemini CLI – популярные решения для разработки с ИИ.
  • Это уже вторая за несколько недель серьёзная «supply chain» атака на открытый код Microsoft; последствия могут затронуть тысячи разработчиков, использующих эти библиотеки.
Microsoft объявила о закрытии десятков репозиториев, потому что в них оказался вредоносный модуль, способный украсть пароли. Инцидент показывает, как даже гиганты могут стать жертвами атак на поставочную цепочку.

Что случилось: отключение репозиториев и первая реакция

В начале июня Microsoft обнаружила, что кода в ряде открытых проектов на GitHub был подменён злонамеренным скриптом. По словам исследователей из Cloudsmith и OpenSourceMalware, вредоносный модуль «Miasma» внедрялся в инструменты, которыми разработчики пользовались для написания кода с помощью ИИ‑моделей.

GitHub сразу же отключил доступ к более 70 репозиториям Microsoft. При попытке открыть страницу проекта пользователи видят сообщение: «Access to this repository has been disabled by GitHub Staff due to a violation of GitHub’s terms of service». Это официальное подтверждение того, что платформа считает инцидент серьёзным нарушением.

Microsoft официально заявила, что репозитории «выключены», однако подробностей о масштабе атаки пока нет. Представитель компании подтвердил получение запроса от наших редакторов, но комментариев пока не дал.

Самым тревожным является то, что вредоносный код уже мог попасть в руки разработчиков, которые скачали заражённые инструменты.

Какие проекты оказались под угрозой

Среди пострадавших – библиотеки, тесно связанные с облачной платформой Azure и инструментами разработки с поддержкой ИИ:

  • Claude Code – клиентская утилита для работы с моделью Claude.
  • Gemini CLI – командный интерфейс для Google Gemini.
  • VS Code extensions – плагины, расширяющие возможности популярного редактора.
  • Durable Task – библиотека, помогающая строить долгоживущие рабочие процессы в Azure.

Все эти инструменты часто включаются в цепочки CI/CD, поэтому заражение может быстро распространиться по проектам компаний‑пользователей.

Как работает «supply chain» атака и почему она опасна

«Supply chain» (поставочная цепочка) – это тип кибератаки, когда злоумышленник подменяет оригинальный код в публичных репозиториях. Пользователь, не подозревая о подмене, загружает библиотеку и запускает её в своём проекте. Если в коде скрыт «червь», он может выполнить любые действия: от кражи токенов до установки бекдоров.

В случае с Miasma‑worm хакеры добавили в пакеты функцию, которая при первом запуске просит у пользователя пароль и отправляет его на удалённый сервер. Таким образом, каждый, кто использует заражённый пакет в своих ИИ‑приложениях, стал потенциальной жертвой.

Проблема в том, что такие библиотеки часто имеют широкую аудиторию: от отдельных фрилансеров до крупных корпораций. Одна уязвимость может затронуть десятки тысяч проектов одновременно.

История атак на открытый код Microsoft

Это уже не первая «re‑compromise» атака на Microsoft за последние недели. В середине мая исследователи сообщили о компрометации проекта Durable Task. Тогда же было подозрение, что вредоносный код удалили, но новая проверка показала, что он вернулся.

Ситуация напоминает предыдущие инциденты с известными открытыми проектами, когда хакеры целенаправленно «выращивают» доверие к репозиторию, а затем вносят в него вредоносный код. Примером может служить длительная компрометация одного из самых популярных средств для разработки в мире, о которой писали в апреле.

Для Microsoft такие атаки особенно болезненны, потому что компания позиционирует себя как надёжного поставщика облачных и разработческих инструментов. Любой сбой подрывает доверие к её экосистеме.

Что делать разработчикам: проверка и минимизация риска

Если вы используете любой из перечисленных инструментов, выполните следующие шаги:

  1. Проверьте, не находится ли ваш репозиторий в списке отключённых. На странице проекта GitHub появится соответствующее сообщение.
  2. Обновите зависимости до последних версий, которые уже выпустили патчи от Microsoft.
  3. Если вы скачали binaries до обновления, удалите их и переустановите с официальных источников.
  4. Включите двухфакторную аутентификацию (2FA) для всех учётных записей, связанных с Azure и GitHub.
  5. Запустите аудит доступа к секретам (токенам, паролям) в своих CI/CD пайплайнах. При появлении неизвестных запросов к внешним серверам – проверяйте логи.

Эти простые меры помогут ограничить потенциальный ущерб, если часть кода уже успела «прокрасться» в ваш проект.

Какие выводы делают эксперты по кибербезопасности

По мнению аналитиков из Cloudsmith, «Miasma» – это уже один из самых продвинутых червей, способный скрыться в процессе сборки и выжить даже после простых проверок кода. Они советуют компаниям внедрять автоматический сканер зависимостей и регулярно проверять подписи пакетов.

OpenSourceMalware подчеркивает, что такие атаки показывают, насколько важна цепочка доверия в открытом коде. Даже если у вас есть собственные ревью, вы всё равно полагаетесь на внешних контрибьюторов и автоматические пакеты.

Для Microsoft это сигнал, что текущие меры защиты поставочной цепочки требуют усиления – от более строгой верификации подписей до обязательного сканирования на уровне CI.

Справка

Microsoft Corporation – американская технологическая компания, основанная в 1975 году Биллом Гейтсом и Полом Алленом. На сегодняшний день Microsoft владеет Windows, Office, Azure и GitHub. Компания активно продвигает открытый исходный код, но несколько недавних инцидентов показали уязвимость её экосистемы.

GitHub – крупнейшая в мире платформа для хостинга кода, приобретённая Microsoft в 2018 году. Предоставляет репозитории, CI/CD, управление правами доступа и механизмы безопасности, такие как Dependabot.

Azure – облачная платформа Microsoft, включающая вычислительные ресурсы, базы данных и сервисы машинного обучения. Многие открытые проекты Microsoft служат вспомогательными библиотеками для Azure.

VS Code – бесплатный редактор кода, разработанный Microsoft. Имеет огромный каталог расширений, часть из которых включала компрометированные библиотеки.

Durable Task – библиотека для создания долгоживущих рабочих процессов в Azure Functions. В мае 2026 года была первой, чьи репозитории были признаны заражёнными.

Атака на открытый код напоминает нам, что безопасность – это постоянный процесс. Даже гиганты могут ошибаться, поэтому проверяйте каждую зависимость, особенно если она используется в критически важных проектах.

Интересно почитать :

Маве Хелс: Индийский стартап представил нейростимулирующий гарнитуру для
улучшения психического здоровья
Маве Хелс: Индийский стартап представил нейростимулирующий гарнитуру для улучшения психического здоровья

Ключевые выводы Индийский стартап Маве Хелс разработал гарнитуру для нейростимуляции мозга стоимостью $495 Устройство использует технологию tDCS (транскраниальная прямая стимуляция) для улучшения внимания, настроения и регуляции стресса Стартап позиционирует продукт …

NHTSA закрыла расследование в отношении удалённой парковки Tesla Actually Smart
Summon: что это значит для владельцев и безопасности?
NHTSA закрыла расследование в отношении удалённой парковки Tesla Actually Smart Summon: что это значит для владельцев и безопасности?

Ключевые выводы Американский регулятор NHTSA официально закрыл расследование функции удалённой парковки "Actually Smart Summon" от Tesla, признав инциденты крайне редкими, малобалльными и происходящими на низкой скорости. За время существования функции …

Крупная утечка данных в Marquis: хакеры похитили данные 672 тысяч клиентов
банков
Крупная утечка данных в Marquis: хакеры похитили данные 672 тысяч клиентов банков

Ключевые выводы Хакеры похитили данные 672 тысяч клиентов банков через кибератаку на Marquis Утечка включает имена, даты рождения, адреса, банковские реквизиты и SSN Более половины пострадавших проживают в Техасе Marquis …

Война за ИИ: Anthropic vs OpenAI — этика против прибыли в гонке за оборонные
контракты
Война за ИИ: Anthropic vs OpenAI — этика против прибыли в гонке за оборонные контракты

Ключевые выводы Anthropic отказался от оборонного контракта из-за опасений использования ИИ для массового наблюдения и автономного оружия OpenAI заключила сделку с Министерством обороны США, вызвав волну негативной реакции пользователей Удаления …

Барри Диллер защищает Сэма Альтмана: почему доверять лидеру ИИ‑индустрии — это
вопрос не только морали, а и неизвестных последствий
Барри Диллер защищает Сэма Альтмана: почему доверять лидеру ИИ‑индустрии — это вопрос не только морали, а и неизвестных последствий

Ключевые выводы Барри Диллер считает Сэма Альтмана честным человеком, но подчеркивает, что главная проблема ИИ — неизвестные последствия, а не личные качества лидеров. По мнению Диллера, вопрос доверия к ИИ …

Нарушение безопасности Braintrust: что случилось, как защитить свои API‑ключи и
что это значит для компаний, использующих ИИ‑модели
Нарушение безопасности Braintrust: что случилось, как защитить свои API‑ключи и что это значит для компаний, использующих ИИ‑модели

Ключевые выводы Braintrust обнаружил неавторизованный доступ к одному из своих AWS‑аккаунтов, где хранились API‑ключи клиентов. Компания попросила всех пользователей немедленно сменить (rotate) свои ключи и провела аудит, ограничив доступ к …

ФильтрИзбранноеМеню43750 ₽
Top