マイクロソフトは最近、GitHub でホストされている数十のオープンソースプロジェクトへのアクセス権限を停止した。これはハッカーがこれらのプロジェクトに侵入し、コード内にパスワード窃盗型のマルウェアを組み込んだためである。 影響を受けたプロジェクトの多くは、Microsoft のクラウドサービス「Azure」や関連する開発者ツールに関連しており、Claude Code、Gemini CLI、VS Code などのAIプログラミングアプリケーションを使用する際に呼び出されるコンポーネントが含まれる。 セキュリティ企業Cloudsmithおよびコミュニティ主導のマルウェア分析プラットフォームOpenSourceMalwareによる最初の報告によると、このマルウェアはユーザーがAIプログラミングツールの感染済みコンポーネントを開いた際、ユーザーのパスワードその他の機密資格情報を窃取することができる。現在までにどれだけの数が影響を受けるツールをダウンロードしたかは不明である。 TechCrunchに対し、マイクロスポークスマンのBen Hop氏は同件を確認し、「潜在的な悪意のあるコンテンツについて調査している間、いくつかのリポジトリを一時的に削除した」と述べた。そのうち一部のリポジトリは審査を経て復旧したが、残りは引き続きオフライン状態となる可能性がある。また、マイクロソフトは影響を受けたリポジトリからコンテンツをダウンロードしていた可能性のある一部の顧客にも通知を行った。 現在、GitHub上で少なくとも70件のMicrosoft関連プロジェクトが「無効化」されており、ページには「GitHubの利用規約違反により、当社のスタッフによって本リポジトリへのアクセスは無効化されました。」と記載されている。