Microsoftのオープンソースプロジェクトがパスワード窃取マルウェアに感染

TechCrunchによると、Microsoftは6月8日、GitHubでホストされている数十のオープンソースプロジェクトへのアクセスを遮断した。ハッカーがプロジェクトに侵入し、パスワード窃取マルウェアをコードに注入していたことが判明したためだ。少なくとも70のMicrosoftプロジェクトが無効化されている。

侵害の詳細

Microsoftは、Azureおよび開発者向けのAI開発ツールに関連するプロジェクトがハッカーに侵害されたことを確認した。セキュリティ企業Cloudsmithおよびコミュニティ主導のマルウェア分析サイトOpenSourceMalwareが最初に当該ハッキングを指摘した。注入されたマルウェアにより、ハッカーはユーザーがコンプロイズされたツールをAIコーディングアプリで開いた際に、パスワードと機密認証情報を窃取できたとされる。

Microsoftの広報担当者Ben Hopeは「潜在的な悪意のあるコンテンツを調査する際に、いくつかのリポジトリを一時的に削除した」と述べた。さらに「これらのリポジトリの一部は検査後に復旧されたが、その他は作業が継続している間、オフラインのままである可能性がある」とも述べている。

対応と顧客への通知

Microsoftは、影響を受けたリポジトリからコンテンツをプルダウンした可能性のある少数の顧客に対して通知を行った。Ben Hope広報は「当社の調査の一環として、影響を受けたリポジトリからコンテンツをプルダウンした可能性のある少数の顧客に通知した。引き続き調査を実施し、さらに何か判明して顧客対応が必要となる場合は、確立されたサポートチャネルを通じて直接連絡する」と述べた。

過去のセキュリティ事案との関連

OpenSourceMalwareによると、今回の事案はMicrosoftのオープンソースプロジェクト「Durable Task」の再度の侵害であるとされている。Durable Taskは5月中旬にもハッキングを受けていた。

この記事は元記事の事実のみに基づいて自動生成されました。

筆者の見立て

• 今回のようなハック対象は、大量のソフトウェア製品で使用されることが多いコードであり、しばしばクラウドシステムおよび大量の顧客データへのアクセス権を有することから、ハッキング対象として有利である可能性を示唆している。
• Microsoftのようなリソースを有する大手テック企業がこの種の攻撃に対して侵害されることは稀であると解釈している。
• Microsoftは初回の試みでハッカーを完全に排除できなかったか、もしくは完全に別の新しい侵害が発生した可能性を予想している。

出典

TechCrunch「Microsoft's open source tools were hacked to steal passwords of AI developers」https://techcrunch.com/2026/06/08/microsofts-open-source-tools-were-hacked-to-steal-passwords-of-ai-developers/ (Cloudsmith、OpenSourceMalware、404 Media、Ars Technicaの報道による)