Зловредный код в репозитории Microsoft украл ключи доступа: GitHub отключил 73 репозитория за 105 секунд

5 июня 2025 года в репозиторий Microsoft Azure/durabletask на GitHub был внедрен вредоносный код. Атака отличалась необычным вектором: код срабатывает не при установке, а когда разработчик просто открывает папку проекта в популярных ИИ-ассистентах для написания кода.

По данным компании StepSecurity, опубликовавшей разбор инцидента, вредоносный код активируется в Claude Code, Gemini CLI, Cursor или редакторе VS Code. После этого он незаметно собирает ключи доступа, пароли и другие учетные данные с компьютера жертвы.

GitHub отреагировал оперативно. Автоматическая система безопасности отключила сразу 73 репозитория в четырех подразделениях Microsoft. Весь процесс занял 105 секунд и прошел двумя волнами.

Репозиторий Azure/durabletask используется для проектов, связанных с долговременными задачами в облачных средах. Подробности о том, как вредонос попал в легитимный репозиторий, пока не раскрыты.

Инцидент подчеркивает новые риски, связанные с использованием ИИ-инструментов в разработке. Разработчикам рекомендуется проверять код перед открытием в таких средах и использовать системы мониторинга доступа к репозиториям.

Microsoft и GitHub продолжают расследование. Пользователям, работавшим с затронутыми репозиториями, рекомендуется сменить скомпрометированные ключи и пароли.