73 Repositories in 105 Seconds, Malicious Code Injected Again into Microsoft's Official Repository: Could Opening Claude and Cursor Lead to Password Leaks?

Über Nacht verschwanden plötzlich eine Vielzahl von offiziellen Microsoft-GitHub-Repositories.

Letzte Woche schloss GitHub in nur 105 Sekunden 73 offizielle Microsoft-Projekte, darunter Azure, Durable Task und mehrere AI-Entwicklungs-Repositories.

Anschließend entdeckten Sicherheitsforscher den Grund: Es scheint, dass einige Projekte von Hackern mit Schadcode infiziert wurden. Sobald Entwickler diese Projekte über AI-Programmiertools wie Claude Code, Gemini CLI, Cursor usw. öffnen, können sensible Informationen wie Account-Anmeldeinformationen und Zugriffstoken gestohlen werden.

73 offizielle Microsoft-Repositories verschwinden in 105 Sekunden

Was zunächst die Aufmerksamkeit der Öffentlichkeit erregte, war das plötzliche Verschwinden einer Vielzahl von offiziellen Microsoft-Projekten auf GitHub.

Letzte Woche veröffentlichte die Sicherheitswebsite OpenSourceMalware, die sich auf die Verfolgung von Supply-Chain-Angriffen spezialisiert, einen Bericht, in dem heißt, dass GitHub am 5. Juni in nur 105 Sekunden 73 Repositories in mehreren Microsoft-Organisationen geschlossen hat.

Die offline genommenen Projekte umfassen ein breites Spektrum, darunter: die gesamte Azure Functions-Organisation, die Durable Task-Projektfamilie, mehrere AI-Beispielanwendungen, Azure-Cloud-Dienstprojekte und eine Reihe von Entwicklertools-Repositories. Laut den Statistiken der Forscher gibt es allein 49 Azure-bezogene Projekte.

Wenn Benutzer versuchen, auf diese Projekte zuzugreifen, wird auf der Seite einheitlich angezeigt:

"Dieses Repository wurde deaktiviert. Aufgrund einer Verletzung der GitHub-Nutzungsbedingungen hat das GitHub-Personal den Zugang zu diesem Repository deaktiviert."

Für jedes Unternehmen ist es sehr ungewöhnlich, mehrere Dutzend offizielle Open-Source-Repositories auf einmal zu schließen. Und wenn man bedenkt, dass GitHub selbst eine Plattform von Microsoft ist, erscheint diese Aktion noch ungewöhnlicher.

Anschließend bestätigte Microsoft mehreren Medien die Tatsache, dass die Repositories offline genommen wurden: "Während der Untersuchung potenziell schädlichen Inhalts haben wir einige Repositories vorübergehend entfernt." Microsoft gab jedoch nicht sofort den konkreten Grund bekannt und auch nicht, welchen Einfluss der Vorfall hatte.

Angriffsziel: Entwickler, die AI-Programmiertools nutzen

Als mehr Sicherheitsorganisationen in die Untersuchung eingriffen, legte sich die Angriffskette hinter dem Vorfall allmählich offen.

Das Sicherheitsunternehmen StepSecurity weist in einem Analysebericht darauf hin, dass die Massenschließung der Repositories mit einer schädlichen Einreichung im Microsoft-Open-Source-Projekt Durable Task zusammenhängt: Die Angreifer haben eine Reihe speziell gestalteter Konfigurationsdateien in das Projekt eingebettet. Diese Konfigurationsdateien scheinen an sich unscheinbar, aber sobald Entwickler das Projekt mit modernen AI-Programmiertools laden, können sie möglicherweise automatisch die entsprechenden Aktionen ausführen.

Es ist bekannt, dass die betroffenen Tools Claude Code, Gemini CLI, Cursor und VS Code umfassen.

Und gemäß den Informationen, die von Organisationen wie StepSecurity, Cloudsmith und OpenSourceMalware offengelegt wurden, besteht der Hauptzweck der schädlichen Konfiguration nicht darin, den Code zu zerstören, sondern die Identifikationsdaten der Entwickler zu stehlen, wie GitHub-Token, Zugriffsschlüssel für Cloudplattformen, API-Schlüssel, sensible Daten in Umgebungsvariablen und interne Unternehmensaccount-Authentifizierungsinformationen.

Das heißt, dies ist kein Angriff auf normale Benutzer, sondern ein Supply-Chain-Angriff, der gezielt auf die Entwicklerpopulation abzielt - und Entwickler haben oft Zugang zu einer Vielzahl hochwertiger Berechtigungen.

Man muss bedenken, dass der Diebstahl eines Entwickleraccounts möglicherweise bedeutet:

• Die Unternehmens-Cloud-Ressourcen werden übernommen;
• Die CI/CD-Pipeline wird manipuliert;
• Der interne Code-Repository wird zugänglich gemacht;
• Die Kundendaten werden preisgegeben;
• Mehr downstream-Software wird infiziert.

Daher ist die Gefahr eines solchen Angriffs weit höher als bei normalen Schadsoftware-Ausbreitungsereignissen.

Taucht TeamPCP erneut auf?

Die Ermittler richteten dann den Verdacht auf eine Hackerorganisation namens TeamPCP, die in den letzten sechs Monaten häufig aktiv war.

Öffentliche Informationen zeigen, dass TeamPCP im ersten Halbjahr 2026 eine Vielzahl von Supply-Chain-Angriffen auf das Open-Source-Ökosystem durchgeführt hat. Die Anzahl der betroffenen Organisationen hat bereits mehrere hundert erreicht. Ihre übliche Vorgehensweise besteht nicht darin, direkt auf Unternehmensnetzwerke zuzugreifen, sondern durch die Kontrolle von Open-Source-Projekten, Abhängigkeitspaketen und Entwicklungstools, Schadcode in den Entwicklungsprozess einzubetten.

Im Mai dieses Jahres wurde das Microsoft-Open-Source-Projekt Durable Task bereits gehackt, und die Angreifer haben damals erfolgreich drei Versionen mit Schadcode veröffentlicht. Und OpenSourceMalware hat in einer neuesten Analyse eine interessante Einschätzung abgegeben: Es ist sehr wahrscheinlich, dass dieser Vorfall ein "erneuter Angriff" auf das Durable Task-Projekt ist.

Dies bedeutet zwei Möglichkeiten:

Erstens konnte Microsoft nach dem ersten Vorfall die Zugangsberechtigungen oder Hintertüren, die die Angreifer hinterlassen haben, nicht vollständig beseitigen.

Zweitens wurde Microsoft von einem neuen, unabhängigen Angriff betroffen.

Egal, welche Antwort richtig ist, es zeigt, dass die Reparaturarbeiten von Microsoft möglicherweise nicht alle Risiken vollständig beseitigt haben.

Microsoft: Einige Benutzer haben bereits eine Benachrichtigung erhalten

Angesichts der Zweifel der Öffentlichkeit gab Microsoft anschließend eine weitere Erklärung ab:

"Der Schutz unserer Kunden und des gesamten Ökosystems hat für uns höchste Priorität. Während der Untersuchung potenziell schädlichen Inhalts haben wir einige Repositories vorübergehend offline genommen. Nach der Prüfung wurden einige dieser Repositories wieder online gestellt, während andere möglicherweise offline bleiben, bis die Untersuchung abgeschlossen ist."

Zur gleichen Zeit gab der Microsoft-Sprecher Ben Hope auch bekannt, dass das Unternehmen als Teil der Untersuchung einen kleinen Teil der Kunden benachrichtigt hat, die möglicherweise den Inhalt der betroffenen Repositories heruntergeladen haben: "Wenn wir feststellen, dass die Kunden weitere Maßnahmen ergreifen müssen, werden wir uns über die bestehenden Supportkanäle direkt an die betroffenen Benutzer wenden."

Bis jetzt hat Microsoft jedoch die genaue Anzahl der betroffenen Personen noch nicht veröffentlicht, und die Öffentlichkeit kann auch nicht feststellen, wie viele Entwickler die relevanten Projekte heruntergeladen haben und wie viele Benutzer möglicherweise sensible Anmeldeinformationen preisgegeben haben.

Für Entwickler, die Claude Code, Gemini CLI, Cursor oder VS Code verwenden, raten Sicherheitsorganisationen, das Risiko, unbekannte Repositories direkt in AI-Hilfsprogrammen auszuführen, sorgfältig abzuwägen - nicht nur, weil die Projekte von "Microsoft offiziell" sind, sollten sie die Vorsicht nicht völlig aus den Augen verlieren, nicht einfach davon ausgehen, dass jede Konfiguration, die der AI-Agent ausführt, sicher ist, und auch nicht die scheinbar normalen Konfigurationsdateien und Automatisierungsskripte in der lokalen Umgebung ignorieren.

Nach alledem hat sich im Zeitalter der AI-Entwicklung das Schlachtfeld der Supply-Chain-Angriffe nicht mehr nur auf die Code-Repositories beschränkt, sondern breitet sich auf die gesamte AI-Entwicklungstoolkette aus.

Verweise:

https://opensourcemalware.com/blog/miasma-reaches-azure?ref=404media.co

https://www.404media.co/microsoft-hacked-to-deliver-malware-to-claude-and-gemini-users/

Dieser Artikel stammt aus dem WeChat-Account "CSDN", bearbeitet von Zheng Liyuan, veröffentlicht von 36Kr mit Genehmigung.