深度分析
GitHub 套件被植入 Miasma 惡意程式碼 攻擊利用 OIDC 令牌與 SLSA 簽名
上週末,微軟 GitHub 上逾七十套開源套件被植入可竊取 AWS、Azure、GCP 等雲端憑證的惡意程式,且會在開發者使用 AI 編碼助手時觸發。攻擊者利用合法 OIDC 令牌與 SLSA 供應鏈驗證,讓偽裝的套件通過雜湊檢測,導致大量開發環境被入侵,安全風險大幅升高。
深度分析
上週末,微軟 GitHub 上逾七十套開源套件被植入可竊取 AWS、Azure、GCP 等雲端憑證的惡意程式,且會在開發者使用 AI 編碼助手時觸發。攻擊者利用合法 OIDC 令牌與 SLSA 供應鏈驗證,讓偽裝的套件通過雜湊檢測,導致大量開發環境被入侵,安全風險大幅升高。
深度分析
微軟開源套件近期遭竊密碼代碼植入,攻擊者利用AI程式碼代理在開啟套件時觸發Miasma惡意程式,竊取AWS、Azure、GCP等雲端與開發工具憑證,並利用合法的SLSA簽章繞過偵測,導致超過七十個套件被惡意,開發者須立即檢查並更換相關憑證。