近两月内第二起！微软开源软件包遭攻击，恶意代码窃取开发者凭证

微软开源软件包攻击73 个恶意包引发安全危机上周晚些时候数十个经加密验证的微软开源软件包遭到攻击被植入高级凭证窃取代码。当开发者在 AI 代码编写工具中打开这些软件包时代码就会被触发。GitHub 的自动化系统在平台上拦截了这些软件包总计有73个软件包被标记为恶意软件包。微软旗下的 GitHub 并未明确指出这些软件包是恶意的也未提醒使用 AI 工具处理这些软件包的开发者假定自己的系统已被入侵只是称因“违反 GitHub 使用条款”而禁用了这些软件包还鼓励软件包所有者联系 GitHub。直到周一微软才提出这些软件包可能被感染的可能性并表示正在调查潜在的恶意内容已暂时移除了部分代码库。恶意代码 Miasma绕过构建流程窃取凭证被入侵的软件包会执行一个28 KB的有效负载从 AWS、Azure、GCP、Kubernetes、密码管理器以及 90 多种开发工具配置中窃取凭证然后在云基础设施中横向传播感染其他开发者的机器。此次攻击与威胁组织 TeamPCP 有关该组织获取微软发布软件包的凭证后对 durabletask 软件包进行投毒攻击技术能让攻击者完全绕过代码库的构建流程。此次攻击中使用的恶意软件被追踪为 Miasma它是 TeamPCP 最近开源的 Mini Shai - Hulud 工具包的克隆版本。安全公司 Cloudsmith 称该恶意软件会窃取 OIDC 令牌凭证这些凭证用于 SLSA 来源证明这是一种为软件完整性提供加密签名保证的方法。供应链攻击频发微软安全管理漏洞凸显这是近几个月内发生的第二起攻破微软官方代码库账户的供应链攻击事件。5 月中旬StepSecurity 公司记录了微软在 PyPI 上的 durabletask Python SDK 被入侵的情况该软件包每月下载量达40 万次。同样的手段还被用于另一起供应链攻击导致数十个红帽软件包被投毒。这一系列事件凸显了微软在安全管理方面存在漏洞未能及时发现和阻止恶意软件的入侵也没有对开发者进行有效的安全提醒。行业警示加强软件供应链安全防御此次微软开源软件包被攻击事件给全行业敲响了警钟。开发者们应假定系统已被入侵并采取相应措施如加强对软件包来源的审核、定期更新安全补丁等。企业需要重视软件供应链的安全建立完善的安全管理体系加强对代码库的监控和保护及时发现和处理潜在的安全威胁。同时行业也需要加强合作共同应对日益严峻的网络安全挑战。编辑观点微软接连遭遇供应链攻击反映出软件供应链安全的脆弱性。企业应提升安全意识完善管理体系行业需加强合作共同筑牢安全防线。