Microsoft's open source tools were hacked to steal passwords of AI developers

개요

Microsoft의 GitHub에 호스팅된 다수의 오픈 소스 프로젝트가 비밀번호 탈취 멀웨어가 주입된 정황을 조사하기 위해 접근이 차단되었습니다.

주요 내용

• 해커들은 Microsoft의 Azure 클라우드 서비스 및 AI 개발 도구(Claude Code, Gemini CLI, VS Code 등)와 관련된 오픈 소스 프로젝트에 침입했습니다.
• 감염된 도구를 AI 코딩 앱에서 열 때 사용자의 비밀번호 및 기타 민감한 자격 증명을 탈취할 수 있는 멀웨어가 주입되었습니다.
• Microsoft는 잠재적인 악성 콘텐츠 조사를 위해 해당 리포지토리를 일시적으로 제거했으며, 일부는 복구되었고 다른 일부는 계속 작업 중입니다.
• GitHub 직원들은 서비스 약관 위반을 이유로 최소 70개의 Microsoft 프로젝트 접근을 비활성화했습니다.
• 이는 널리 사용되는 오픈 소스 프로젝트를 대상으로 하여 다수의 사용자에게 멀웨어를 심는 공급망 공격의 최신 사례입니다.
• 대규모 기술 기업인 Microsoft가 이러한 공격으로 피해를 입은 것은 드문 일이며, 이는 지난 몇 주간 Microsoft 오픈 소스 프로젝트가 해킹된 두 번째 사례입니다.
• 이전에는 5월 중순에 Microsoft의 오픈 소스 프로젝트인 Durable Task가 해킹되었습니다. OpenSourceMalware는 이번 사건이 Durable Task 프로젝트의 "재감염"일 수 있다고 언급했습니다.

시사점

이번 사건은 오픈 소스 공급망 보안의 취약성을 드러내며, 개발자 도구에 대한 철저한 보안 검사와 잠재적 위협에 대한 지속적인 경계의 중요성을 강조합니다.