105秒下架73个仓库，微软官方库再遭“投毒”：打开Claude、Cursor就可能丢密码？

一夜之间，微软大量官方 GitHub 仓库突然消失了。

上周，GitHub 在短短 105 秒内接连关闭了 73 个微软官方项目，涉及 Azure、Durable Task 以及多个 AI 开发相关仓库。

随后，安全研究人员发现原因：部分项目疑似遭黑客植入恶意代码，开发者一旦通过 Claude Code、Gemini CLI、Cursor 等 AI 编程工具打开相关项目，账号凭证、访问令牌等敏感信息就可能被窃取。

105 秒内，73 个微软官方仓库集体消失

最早引发外界关注的，是大量微软官方项目突然从 GitHub 上“消失”。

上周，专门追踪供应链攻击事件的安全网站 OpenSourceMalware 发布报告称，6 月 5 日当天，GitHub 在短短 105 秒内连续关闭了微软旗下多个组织中的 73 个仓库。

被下线的项目覆盖范围相当广泛，包括：整个 Azure Functions 组织、Durable Task 项目家族、多个 AI 示例应用、Azure 云服务相关项目，以及一系列开发者工具仓库。根据研究人员统计，其中仅 Azure 相关项目就多达49个。

当用户尝试访问这些项目时，页面统一显示：

“该仓库已被禁用。由于违反 GitHub 服务条款，GitHub 工作人员已禁用了对此仓库的访问权限。”

对于任何企业而言，一次性关闭数十个官方开源仓库都十分罕见。而考虑到 GitHub 本身就是微软旗下的平台，这样的操作更显异常。

随后，微软向多家媒体证实了仓库下线的事实：“在调查潜在恶意内容期间，我们临时移除了一些仓库。”不过微软并未立即披露具体原因，也没有说明该事件的影响范围。

攻击目标：使用 AI 编程工具的开发者

随着更多安全机构介入调查，事件背后的攻击链逐渐浮出水面。

安全公司 StepSecurity 在分析报告中指出，此次大规模仓库关闭与微软开源项目 Durable Task 中的一次恶意提交有关：攻击者向项目中植入了一系列经过特殊设计的配置文件，这些配置文件本身看起来并不起眼，但一旦开发者使用现代 AI 编程工具加载项目，它们便可能自动执行相关操作。

据悉，受影响的工具包括 Claude Code、Gemini CLI、Cursor、VS Code。

而根据 StepSecurity、Cloudsmith 以及 OpenSourceMalware 等机构披露的信息，恶意配置的主要目的并非破坏代码，而是窃取开发者的身份凭证，如 GitHub Token、云平台访问密钥、API Key、环境变量中的敏感数据、企业内部账号认证信息等。

也就是说，这不是一次针对普通用户的攻击，而是一场精准瞄准开发者群体的供应链攻击——而开发者往往掌握着大量高价值权限。

要知道，一个开发者账号被窃取，可能意味着：

因此，此类攻击的危险程度远高于普通恶意软件传播事件。

TeamPCP 再次现身？

调查人员随后将矛头指向一个近半年频繁活跃的黑客组织——TeamPCP。

公开资料显示，TeamPCP 在 2026 年上半年发动了大量针对开源生态的供应链攻击，受影响组织数量已达到数百家。其惯用手法并非直接攻击企业网络，而是通过控制开源项目、依赖包和开发工具，将恶意代码植入开发流程之中。

今年 5 月，微软开源项目 Durable Task 就曾遭到入侵，当时攻击者成功发布了三个带有恶意代码的版本。而 OpenSourceMalware 在最新分析中提出了一个耐人寻味的判断：此次事件很可能是对 Durable Task 项目的一次“再次入侵”。

这意味着两种可能：

第一，微软在第一次事件后未能彻底清除攻击者留下的访问权限或后门。

第二，微软遭遇了另一场全新的独立攻击。

无论答案是哪一个，都说明微软此前的修复工作可能未能完全消除风险。

微软：已有部分用户收到通知

面对外界质疑，微软随后发布了进一步声明：

“保护客户以及整个生态系统是我们的首要任务。在调查潜在恶意内容期间，我们临时下线了部分仓库。经过审查后，其中一些仓库已经恢复上线，另一些仓库则可能继续保持离线状态，直到调查结束。”

与此同时，微软发言人 Ben Hope 还透露，作为调查工作的一部分，公司已经通知了少量可能下载过受影响仓库内容的客户：“如果后续发现需要客户采取进一步行动的情况，我们将通过既有支持渠道直接联系相关用户。”

不过截至目前，微软仍未公布具体受影响人数，外界也无法确认究竟有多少开发者曾下载过相关项目，又有多少用户可能暴露了敏感凭证。

对于正在使用 Claude Code、Gemini CLI、Cursor 或 VS Code 的开发者，安全机构建议，需审慎评估在 AI 助手中直接运行未知仓库的风险——不要因为项目来自“微软官方”就完全放松警惕、不要默认 AI Agent 执行的每个配置都是安全的，更不要忽视本地环境中那些看似普通的配置文件和自动化脚本。

毕竟在 AI 开发时代，供应链攻击的战场早已不再局限于代码仓库本身，而正在向整个 AI 开发工具链全面蔓延。

参与链接：

https://opensourcemalware.com/blog/miasma-reaches-azure?ref=404media.co

https://www.404media.co/microsoft-hacked-to-deliver-malware-to-claude-and-gemini-users/

本文来自微信公众号“CSDN”，整理：郑丽媛 ，36氪经授权发布。

相关推荐

105秒下架73个仓库，微软官方库再遭“投毒”：打开Claude、Cursor就可能丢密码？
微软抽调工程师重组GitHub团队，硬刚Cursor、Claude Code
5 亿 ARR的Cursor，已经没人讨论它了？
Cursor 3来了！一句话让所有Agent一起干活
刚刚，Cursor被扒底裤，Claude Code套壳实锤，500亿估值全靠Ctrl+H？
别再用 Cursor 和 Claude 了！DeepSeek Code 才是 AI 编程的终极形态
突发！SpaceX拟600亿美元收购Cursor，AI编程最赚钱独角兽易主？
Cursor 搭 MCP，一句话就能让数据库裸奔！？不是代码bug，是MCP 天生架构设计缺陷
Claude Code把自己的介绍，外包给这家AI公司了
全网疯传fork！刚刚，Claude Code源代码泄露被开源了

网址: 105秒下架73个仓库，微软官方库再遭“投毒”：打开Claude、Cursor就可能丢密码？ https://www.xishuta.cn/newsview150391.html