微软官方软件包再遭投毒:73个包被植入凭证窃取器,AI代理一打开即触发
微软官方仓库再次成为供应链攻击的目标。上周晚些时候,73个经过加密验证的开源软件包被恶意篡改,植入了高级凭证窃取代码。这些代码会在开发者通过AI编码代理打开软件包的瞬间自动触发。GitHub将这些包标记为“违反服务条款”并禁用,但未明确提示恶意性质。安全专家警告,所有使用AI代理处理过这些包的开发者应立即假设系统已遭入侵。
攻击细节:自复制型凭证窃取器
被篡改的包中包含一个28KB的有效载荷,专门窃取AWS、Azure、GCP、Kubernetes、密码管理器以及90多种开发者工具配置中的凭证。更危险的是,该恶意软件具备横向传播能力,能通过云基础设施感染其他开发者机器。攻击手法与2024年5月微软durabletask Python SDK被投毒事件高度相似,均通过泄露的微软凭证绕过仓库构建管道直接发布恶意版本。
威胁追踪:TeamPCP与Miasma恶意软件
安全厂商将此次攻击关联到名为TeamPCP的黑客组织。使用的恶意软件Miasma实际上是该组织开源的Mini Shai-Hulud工具包的克隆版本。Miasma不仅窃取常规凭证,还能捕获OIDC(OpenID Connect)令牌,这类令牌常用于**SLSA(软件供应链级别)**来源证明,这意味着攻击者可以伪造软件完整性签名。
微软回应与行业警示
微软在事件发生数日后才承认“可能存在恶意内容”,并称“已暂时移除部分仓库进行调查”。安全社区对此反应强烈——这已是两个月内第二起微软官方仓库被投毒事件。安全公司Cloudsmith指出,攻击者正在利用开发者对微软官方源的信任,同时针对AI代理自动执行代码的特性,实现“零点击”感染。
对开发者的影响与建议
- 立即检查:若近期通过AI代理(如GitHub Copilot、Cursor等)使用过微软官方包,应全面审计系统凭证。
- 凭证轮换:立即轮换所有云服务、密码管理器及CI/CD工具的凭证。
- 启用多因素认证:对发布包所需的账号强制启用MFA。
- 监控异常:关注SLSA证明、OIDC令牌的使用异常。
- 工具升级:使用包管理器时启用签名验证和完整性校验。
此次事件再次证明,即使来源为官方仓库,也不能完全信任。AI代理的普及更扩大了攻击面——代码在“查看”时即被执行,传统沙箱可能失效。安全厂商呼吁业界重新审视供应链安全策略,将“零信任”原则贯彻到每一个代码执行环节。
