微软开源包再遭入侵，凭证窃取恶意代码连续两次攻击

数十个来自微软的经过密码学验证的开源包于上周末遭到攻击，被植入了高级凭证窃取代码。一旦开发者在AI编码智能体中打开这些包，恶意代码便会立即触发执行。

多位研究人员表示，共有73个包在GitHub自动化系统检测后被标记为恶意软件并遭到拦截。然而，微软旗下的GitHub并未明确说明这些包存在恶意内容，也未警告使用AI智能体处理过这些包的开发者应将其系统视为已遭入侵，而是仅以"违反GitHub服务条款"为由将这些包下架，并附上了引导包所有者联系GitHub的文字说明。

开发者：请以系统已被入侵为前提采取相应措施

直到周一，微软才首次提及这些包可能已被感染。该公司在一封邮件中表示："我们已暂时移除部分代码仓库，同时正在调查潜在的恶意内容。"

这是微软官方代码仓库账户在短短数月内遭遇的第二次供应链攻击。今年五月中旬，安全公司StepSecurity记录了微软在PyPI平台上的durabletask Python SDK遭受入侵的事件。该包是一个用于构建容错工作流和编排方案、自动化分布式事务及其他工作流的框架，每月下载量高达40万次。

此次被攻击的包执行了一个28KB的恶意载荷，可窃取来自AWS、Azure、GCP、Kubernetes、密码管理器以及90多种开发者工具配置中的凭证，并随后在云基础设施中横向传播，进而感染其他开发者的机器。此次攻击被归因于一个名为TeamPCP的威胁行为者。攻击者在获取了微软用于发布该包的账户凭证后，对durabletask包实施了投毒。这种攻击手法使攻击者得以完全绕过代码仓库的构建流水线。

此次攻击中使用的恶意软件被追踪命名为Miasma，本质上是TeamPCP近期开源的Mini Shai-Hulud工具包的克隆版本。安全公司Cloudsmith指出，该恶意软件会收割用于SLSA（软件制品供应链安全级别）来源证明中的OIDC（OpenID-Connect）Token凭证。SLSA是一种通过密码学签名来保证软件完整性的机制。

与五月份针对微软durabletask的入侵事件如出一辙，上周的攻击同样利用上述机制窃取了一个合法的微软OIDC Token，并被用于另一起针对数十个Red Hat包的供应链投毒攻击。

Cloudsmith表示："Miasma蠕虫的高明之处在于，它完全遵循了合法的工作流程，既未利用GitHub或npm中的任何软件漏洞，而是转而利用了现代工程生态系统底层的信任模型。"该公司进一步解释道：

攻击者首先通过窃取开发者凭证，以合法方式获取GitHub OIDC Token，随后发布一个携带有效SLSA来源证明的恶意构建版本，最终使常规扫描器将其识别为一次普通的可信更新。通过窃取合法维护者的凭证，这个蠕虫得以完全模拟一个经过身份验证的发布者的行为。

此外，Miasma还会为每一次感染生成独一无二的加密载荷，这意味着传统的基于哈希值的入侵指标（IOC）对于广泛检测而言几乎毫无用处，因为每个包版本的文件签名都会随之改变。Red Hat的Andrew McNamara在一篇专题博文中详细阐述了SLSA机制的局限所在。

与Mini Shai-Hulud恶意软件此前版本专注于本地密钥抓取不同，Miasma蠕虫新增了专门针对GCP和Azure云身份的高级数据采集器，会尝试收割被感染的开发者机器及CI/CD运行环境所能访问的全部云身份凭证。这一特征清楚地表明，威胁行为者的意图已不再局限于代码库本身，而是直接将目标延伸至实时云环境。

此次感染微软相关包的Miasma蠕虫中的凭证窃取功能，会在开发者通过AI智能体（包括Claude Code、Gemini CLI、Cursor和VS Code）打开相关包时立即触发。若凭证已从曾用上述AI智能体打开过这些包的机器上被成功窃取，后续攻击极有可能随之而来。

值得关注的是，五月份攻击中被入侵的微软GitHub账户，与上周遭受入侵的是同一个账户。目前尚不清楚同一账户被连续入侵的具体原因。这可能意味着微软未能彻底更换该账户的凭证，也可能是某个未知包在微软开发者机器上运行后窃取了新凭证所致。目前微软尚未就此提供进一步说明。

恶意包的自复制密码学验证机制，加之其绕过哈希检测的能力，使此类攻击极难被发现。而同一微软账户的再次被攻陷也表明，此类入侵事件往往难以得到彻底修复。任何曾接触过上述73个包之一的开发者，都应立即暂停当前工作，对相关系统展开全面排查，以防任何已泄露的凭证在未来的攻击中被利用。

Q&A

Q1：Miasma恶意软件是什么？它有哪些危害？

A：Miasma是一种蠕虫恶意软件，是TeamPCP威胁组织开源的Mini Shai-Hulud工具包的克隆版本。它能够窃取AWS、Azure、GCP、Kubernetes、密码管理器及90多种开发者工具中的凭证，并在云基础设施中横向传播感染其他开发者机器。其最大特点是为每次感染生成独特的加密载荷，导致传统哈希检测手段失效，同时专门针对GCP和Azure云身份进行高级数据采集。

Q2：SLSA来源证明机制为何无法防御此次攻击？

A：SLSA机制通过密码学签名来保证软件完整性，但其前提是发布者的身份凭证是可信的。Miasma蠕虫通过窃取合法维护者的凭证，以经过身份验证的发布者身份发布恶意构建版本，使得携带有效SLSA来源证明的恶意包能够通过常规扫描器的检测，被识别为可信更新。攻击利用的是信任模型本身的局限，而非软件漏洞。

Q3：开发者如果使用AI智能体打开了受感染的包该怎么办？

A：如果开发者曾使用Claude Code、Gemini CLI、Cursor或VS Code等AI智能体打开过73个受感染包中的任意一个，应立即停止当前工作，对系统展开全面排查。需重点检查是否有凭证遭到窃取，包括云平台凭证（AWS、Azure、GCP）、Kubernetes配置及各类开发者工具的访问密钥，并及时更换所有相关凭证，防止被用于后续攻击。