据多名安全研究人员称,上周末晚些时候,73 个经过加密学验证的 Microsoft 开源软件包遭到入侵,植入了先进的凭据窃取代码;当开发者在 AI 编码代理中使用这些软件包时,该代码会激活。该恶意载荷被追踪为 Miasma 恶意软件,会从 AWS、Azure、GCP、Kubernetes、密码管理器中窃取凭据,并在通过云基础设施传播之前,覆盖 90 多种开发者工具配置。这标志着在短短数月内第二次针对 Microsoft 仓库的供应链攻击,此前是在 5 月对 durabletask 的 Python SDK 进行过一次入侵。GitHub 最初禁用了这些软件包,理由是违反服务条款,而不是将其标记为恶意软件。微软直到周一才承认可能存在被入侵的情况。