5 июня неизвестные злоумышленники добавили вредоносный код в один из репозиториев Microsoft на GitHub — Azure/durabletask. Хитрость в том, что код срабатывает не при установке программы, а в момент, когда разработчик просто открывает папку проекта в популярных ИИ-помощниках для написания кода: Claude Code, Gemini CLI, Cursor или редакторе VS Code. После этого он молча собирает ключи доступа и пароли с компьютера жертвы. Через несколько часов GitHub отреагировал жестко: автоматика отключила сразу 73 репозитория в четырёх подразделениях Microsoft — и уложилась в 105 секунд, двумя волнами. Подробный разбор инцидента опубликовала компания StepSecurity.
Главное в этой истории — смена самого принципа атаки. Раньше вредоносный код прятали внутрь устанавливаемых библиотек: он запускался, когда инженер подключал зараженный пакет к своему проекту. Теперь же код лежит прямо в папке с проектом и активируется в тот момент, когда эту папку открывают в редакторе или ИИ-агенте. То есть скачать копию репозитория к себе — безопасно. А вот открыть ее — уже нет. Фактически злоумышленники научились превращать настройки вашего редактора в спусковой крючок.
Всего в репозиторий подбросили пять файлов, рассчитанных сразу на четыре сценария запуска:
-
настройку для Claude Code, которая выполняет вредоносный код при старте сессии;
-
такую же настройку для Gemini CLI;
-
спрятанную инструкцию для ИИ-агента Cursor — она замаскирована под «обязательный шаг настройки проекта» и заставляет агента самому запустить вредонос;
-
автозадачу для VS Code, которая срабатывает при открытии папки — причем тут ИИ вообще не нужен, все происходит само;
-
и сам вредоносный код — запутанный файл на 4,6 МБ, который и ворует ключи и пароли.
Самым болезненным последствием стало отключение Azure/functions-action — официального инструмента Microsoft для автоматической выкладки кода в облако Azure. Как только репозиторий заблокировали, у разработчиков по всему миру разом перестали работать сборки, которые на него ссылались. На форуме Microsoft быстро набралась ветка с жалобами от десятков пострадавших. Сама Microsoft сначала назвала случившееся нарушением правил GitHub, но уже через двенадцать минут переписала ответ, сославшись на некую внутреннюю проблему, которую расследуют, и посоветовала временно выкладывать код другими способами.
Что делать тем, кого это может касаться. Если вы за последние дни скачивали какой-либо из затронутых репозиториев Microsoft и открывали его в Claude Code, Cursor, Gemini CLI или VS Code, стоит исходить из того, что система уже скомпрометирована — и сменить все ключи и пароли, которые хранились на этой машине. Заодно полезно проверить собственные проекты на предмет неожиданно появившихся служебных файлов с настройками для тех же ИИ-агентов. А тем, у кого автоматическая выкладка кода была завязана на упавший Azure/functions-action, придется временно деплоить другими способами — и впредь привязываться не к подвижной метке версии, а к конкретной фиксированной, чтобы исчезновение репозитория не роняло всю сборку разом.
P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть», где я рассказываю про ИИ с творческой стороны.
ссылка на оригинал статьи https://habr.com/ru/articles/1044664/