Microsoft’s open source tools were hacked to steal passwords of AI developers

개요

Microsoft의 GitHub에 호스팅된 수십 개의 오픈 소스 프로젝트가 해킹되어 AI 개발자들의 비밀번호를 훔치는 악성코드가 삽입된 사건이 조사 중이며, 이에 따라 해당 프로젝트들의 접근이 차단되었다.

주요 내용

• 해커들은 Microsoft의 오픈 소스 프로젝트 코드에 악성코드를 주입했으며, 이 악성코드는 AI 코딩 앱에서 해당 도구를 사용하는 사용자의 비밀번호 및 기타 민감한 자격 증명을 탈취할 수 있도록 설계되었다.
• 영향을 받은 프로젝트들은 Microsoft의 클라우드 서비스 Azure 및 Claude Code, Gemini의 CLI, VS Code와 같은 AI 개발 도구와 관련된 경우가 많다.
• 보안 업체 Cloudsmith와 OpenSourceMalware가 이 해킹 사건을 최초로 보고했으며, Microsoft는 현재 이를 조사하며 관련 리포지토리들을 임시적으로 제거했다.
• GitHub는 서비스 약관 위반을 이유로 최소 70개의 Microsoft 프로젝트 접근을 차단했다.
• 이번 사건은 널리 사용되는 오픈 소스 프로젝트를 겨냥하여 다수의 사용자 컴퓨터에 악성코드를 설치하려는 공급망 공격의 최신 사례이다.
• 대규모 기술 기업인 Microsoft가 이러한 공격에 취약점을 보인 것은 드문 일이며, 이는 최근 몇 주간 Microsoft 오픈 소스 프로젝트가 해킹된 두 번째 사례이다.

시사점

이번 사건은 오픈 소스 생태계 전반의 보안 취약성을 드러내며, 대규모 공급망 공격의 심각성을 재확인시키고 AI 개발자들의 보안 인식 강화와 추가적인 보안 조치의 필요성을 제기한다.