微软在数周内遭遇第二次重大供应链攻击,73个经过验证的开源软件包被植入窃取凭证的恶意代码。当开发者使用AI编码代理打开这些软件包时,恶意代码会激活,目标包括AWS、Azure、GCP、Kubernetes以及90多种开发者工具的凭证。此前5月份,微软的durabletask Python SDK也遭到类似入侵,该软件包每月下载量达40万次。
背景
供应链攻击通过软件分发渠道同时危害多个用户,近期事件突显了开源生态系统的脆弱性。微软的开发者工具和软件包在业界广泛使用,因此成为攻击者的高价值目标。
- 来源
- Ars Technica
- 发布时间
- 2026年6月9日 02:34
- 评分
- 8.0 / 10