微软因黑客入侵其GitHub开源项目并植入窃取密码的恶意代码，已暂时下架数十个相关项目（涉及Azure云服务及AI开发工具）。安全公司发现该恶意软件会窃取用户凭证。微软表示正在调查，部分项目经审查后已恢复，并通知了可能受影响的用户。具体感染范围尚不明确。

微软开源项目遭黑客入侵事件调查简报

（北京，7月3日）微软公司近日紧急下架了GitHub平台上数十个开源项目。据TechCrunch报道，此次事件源于黑客入侵并植入了窃取用户密码的恶意代码。

受影响项目主要涉及： 1. Azure云服务平台相关组件 2. AI开发工具（包括Claude Code、Gemini命令行工具等） 3. VS Code扩展功能

安全机构Cloudsmith和OpenSourceMalware分析指出，当开发者在AI编程应用中打开被篡改的工具时，恶意程序会窃取登录凭证等敏感信息。目前具体受影响用户数量尚未披露。

微软发言人本·霍普表示： - 已临时下架部分存疑代码库 - 经审查后部分项目已恢复上线 - 正通过官方渠道通知可能受影响客户

值得注意的是： • 这是微软近月来第二次开源项目被攻破 • 五月中旬Durable Task项目就曾遭类似攻击 • 本次可能是同一黑客组织的持续渗透

技术背景： 此类"供应链攻击"通过污染常用代码库扩大危害，通常针对： - 广泛使用的软件组件 - 能接触云系统及客户数据的开发工具

截至发稿，约70个微软项目仍显示"因违反服务条款被禁用"的提示。微软未回应关于具体受影响客户数量的询问。

（本文根据TechCrunch、Ars Technica等信源综合报道）

以下是评论内容的总结，平衡呈现不同观点并保留关键引用：

1. 供应链漏洞的普遍担忧

   • 多位用户表达对频繁出现的供应链攻击的担忧
   • 关键引用：
     • "another day, another supply chain vulnerability" (TZubiri)
     • "The risk of supply chain issue has increased dramatically in the enterprise" (pdp)

2. 对微软处理方式的争议

   • 部分用户认为微软应对得当，但媒体报道有失公允
   • 关键引用：
     • "in this case they did the right thing... shame on them for limiting the breach" (bilekas)
     • "I hate to admit M$ did the safe and right thing" (bilekas)

3. AI开发带来的安全隐患

   • 讨论AI代理开发模式可能增加安全风险
   • 关键引用：
     • "The Age of Agentic Development" (dude250711)
     • "now coding assistants and engineers are working on multiple unrelated projects simultaneously" (pdp)

4. 对媒体报道的批评

   • 多个用户批评TechCrunch等媒体的不专业报道
   • 关键引用：
     • "Is this what journalism looks like today?" (raincol)
     • "Very very bad reporting in my opinion" (bilekas)

5. 技术层面的具体分析

   • 讨论访问令牌管理等问题
   • 关键引用：
     • "classic personal access tokens being used in an unclean way" (bob1029)
     • "keep your SBOM strict, use min release age policy" (zihotki)

6. 普遍的安全焦虑

   • 用户表达对当前安全形势的无奈
   • 关键引用：
     • "guys. what the fuck. are we even doing" (ares623)
     • "It actually feels like nothing is safe now" (yossufyahia)

总结显示评论主要关注：供应链安全恶化、AI开发风险、微软事件处理、媒体报道质量，以及普遍的安全焦虑。多数观点认为当前安全形势严峻，但对责任归属和解决方案存在分歧。