微软软件包生态系统再次遭遇大规模供应链攻击。据Ars Technica报道,安全研究人员在微软官方软件包仓库中发现了73个恶意软件包,这些包被设计为在AI代理打开时自动运行,并释放自我复制的凭据窃取器。这是过去几周内微软软件包第二次遭受类似攻击,上一次发生在5月下旬,当时有超过100个软件包被植入类似的恶意代码。
攻击手法:利用AI代理的自动执行特性
这些恶意软件包伪装成合法的开发工具或库文件,名称与流行的开源项目相似,使用了典型的typosquatting(域名抢注)技术。一旦AI代理——例如GitHub Copilot、OpenAI的Code Interpreter或其他自动代码执行工具——在尝试安装或导入这些包时,它们会在后台静默运行一个自我复制的凭据窃取器。该窃取器能够扫描环境变量、浏览器存储的密码、SSH密钥以及云服务(如AWS、Azure)的配置文件,并将窃取的数据加密后发送到攻击者控制的C2服务器。
“这是AI时代的软件供应链攻击新范式。过去攻击者需要诱骗人类开发者去点击或运行恶意代码,而现在他们只需要等待AI代理自动完成这些操作。” —— 安全研究员Amit Serper
更令人担忧的是,这些恶意包具有自我复制能力:一旦成功感染一台机器,它们会尝试在本地或连接的代码仓库中创建新的恶意包版本,或者修改其他合法包以传播感染链。研究人员发现,部分包甚至在安装后会自动向npm、PyPI等公共仓库提交伪造的包,从而形成跨平台传播。
行业背景:软件供应链安全屡受挑战
微软软件包仓库(如NuGet Gallery)是.NET生态系统的主要包来源,被成千上万的企业和开发者使用。近年来,针对包管理器的供应链攻击呈指数级增长。2024年,美国政府发布了《软件供应链安全指南》,要求联邦机构对开源包进行严格的SBOM(软件物料清单)审计。然而,AI代理的普及带来了新的盲区:自动代码生成工具往往缺乏对依赖包来源的安全校验,会直接信任包管理器返回的结果。此前的Log4j漏洞和SolarWinds事件已经提醒业界,一个被污染的包可以影响整个技术堆栈,而AI代理的决策速度使得检测和响应窗口被压缩到分钟级。
微软在回应中表示,已经下架了所有确认的恶意包,并更新了包管理器的安全扫描策略,但承认需要更长期的防御措施。公司与安全社区合作开发基于行为分析的模型,用于在包被首次安装时检测异常行为,例如在短时间内访问多个敏感文件或尝试网络连接。
编者按:AI时代的信任危机
这次事件再次敲响警钟:当AI代理开始替我们编写代码、安装依赖、甚至执行日常运维任务时,传统基于“人类操作”的安全假设不再成立。AI代理不会像人类一样对未知包产生怀疑,也不会主动检查包的来源合法性。攻击者意识到这一点后,迅速将矛头指向AI的自动化能力。未来,我们可能需要重新设计软件包的生命周期管理:引入更严格的签名验证、更细粒度的权限控制,甚至要求AI代理在执行任何未经人工确认的操作前必须获得明确授权。否则,今天73个包的攻击,明天可能演变成覆盖整个生态的自动化蠕虫。
本文编译自Ars Technica
© 2026 Winzheng.com 赢政天下 | 转载请注明来源并附原文链接