Microsoft、Claude および Gemini ユーザーへマルウェアを配布する目的でハッキングされた件
サイバー攻撃グループ TeamPCP が Microsoft の GitHub リポジトリを乗っ取り、Claude Code や Gemini CLI などの AI コーディングツールで機密情報を窃取するマルウェアを仕掛けたため、Microsoft は関連リポジトリの停止と調査に追われている。
キーポイント
大規模なリポジトリ停止措置
GitHub 上で Microsoft の組織(Azure Functions, Durable Task など)に属する73件のリポジトリが、105秒という短時間で一括して無効化された。
AI コーディングツールを標的とした攻撃手法
攻撃者は 'durabletask' リポジトリに悪意のあるコミットを行い、Claude Code, Gemini CLI, Cursor などの AI エージェントがリポジトリを開いた際にユーザーの認証情報を窃取する構成ファイルを仕掛けた。
サプライチェーン攻撃の実態
サイバー犯罪グループ 'TeamPCP' が関与しており、今年上半期に数百の組織を標的とした同様のサプライチェーン攻撃を実行していることが報じられている。
ユーザーの懸念と沈黙
Microsoft のフォーラムでは、リポジトリ閉鎖に関する議論が行われているが、この問題について言及されていないことへの不満の声が上がっています。
影響分析・編集コメントを表示
影響分析
この事象は、AI コーディングエージェントがコードを実行・解析するプロセス自体が新たな攻撃経路となり得ることを示しており、従来のソフトウェアサプライチェーン攻撃とは異なるリスクを浮き彫りにしました。開発者は単にソースコードを確認するだけでなく、AI ツールによる自動処理の安全性についても再評価を迫られることになります。
編集コメント
AI ツールがコード生成や解析を行う際、背後で実行されるリポジトリの信頼性が脅かされている現実を如実に示す事例です。開発者は今すぐ使用している AI コーディングツールの設定と依存関係を見直す必要があります。
imageサイバーセキュリティ研究者による調査および Microsoft が 404 Media に送った声明によると、Microsoft はデータ侵害の調査の一環として、Azure や AI コーディングエージェントに関連するものを含む、GitHub 上の自社のリポジトリの一部を停止しました。ある研究グループによれば、ハッカーは Claude Code や Gemini CLI といった AI コーディングツールでファイルを開いた際にユーザーの認証情報を窃取するマルウェアを仕掛けたとされています。
侵害の詳細な範囲はまだ不明ですが、研究者らは Microsoft が自社のリポジトリ 70 以上を無効化したとし、以前に侵害された特定のパッケージを指し示しています。
「潜在的な悪意あるコンテンツの調査のため、一部のリポジトリを一時的に削除しました」と Microsoft は月曜日に電子メールで 404 Media に回答しました。
執筆時点では、さまざまな GitHub リポジトリに以下のような表示が表示されています。
「このリポジトリは無効化されました。GitHub の利用規約違反により、GitHub スタッフによって本リポジトリへのアクセスが無効化されています。リポジトリの所有者の方は、詳細については GitHub サポートまでお問い合わせください。」
先週、サプライチェーン攻撃の指標を集約して防御者が自社のネットワークを保護するためのハブとして機能し、独自の解説記事も発表しているサイバーセキュリティウェブサイト「OpenSourceMalware.com」が、Microsoft の GitHub リポジトリが一斉に無効化された件について報じました。
同サイトは金曜日に、「GitHub は 6 月 5 日の 105 秒間にわたる一掃作戦により、4 つの GitHub オルガニゼーション全体(Azure Functions の全組織、Durable Task ファミリー全体、および AI サンプルアプリの一覧)にまたがる 73 の Microsoft リポジトリを無効化した」と記述しました。
ある企業、ましてや Microsoft がこれほど多くの自社のリポジトリを一挙に無効化することは極めて異例です。これには、Microsoft のクラウドコンピューティング部門である Azure に関連する 49 のリポジトリと、AI エージェントに関するいくつかのリポジトリが含まれています。
シャットダウンされたリポジトリには、Microsoft の開発ツールである「durabletask」に関連するものも含まれています。
StepSecurity の研究者らは金曜日に、GitHub のクローズは悪意のあるコミットが durabletask リポジトリにプッシュされた後に発生したと記述しました。この攻撃により、Claude Code、Gemini CLI、Cursor、または VS Code でリポジトリを開いた際にユーザーの認証情報を収集する設定ファイルが仕込まれたと、StepSecurity は報告しています。
TeamPCP というグループのハッカーらは、以前に Microsoft の durabletask を乗っ取り、5 月にこのツールの悪意のあるバージョンを 3 つ公開しました。WIRED の報道によると、TeamPCP は今年上半期に数百の組織に影響を与えるサプライチェーン攻撃を多数実行しています。
実際には、これらのリポジトリを使用していたすべての GitHub Actions は機能しなくなります。また、この声明と調査結果を併せて考えると、Microsoft は以前の侵害発生後に自分自身やユーザーを完全に保護できていなかったことが示唆されます。
「なぜこれがどこにも記載されていないのか?」と、1 つのリポジトリの閉鎖について議論する Microsoft フォーラムのスレッドで、ある評論家が書き込んでいます。
原文を表示
imageMicrosoft has shut down a wave of its own repositories on GitHub, including those related to Azure and AI coding agents, as it investigates a data breach, according to research from cybersecurity researchers and a statement given to 404 Media by Microsoft. Hackers planted malware that would harvest peoples’ credentials when they opened it in AI coding tools like Claude Code or Gemini CLI, according to one set of researchers.
The exact contours of the breach are unclear, but researchers say Microsoft has disabled more than 70 of its own repositories, and pointed to a particular package that was previously compromised.
“We have temporarily removed some repositories as we investigate potential malicious content,” Microsoft told 404 Media in an emailed statement on Monday.
At the time of writing, various GitHub repositories reads:
“This repository has been disabled. Access to this repository has been disabled by GitHub Staff due to a violation of GitHub's terms of service. If you are the owner of the repository, you may reach out to GitHub Support for more information.”
Last week, cybersecurity website OpenSourceMalware.com, which acts as a clearing house for indicators of supply chain attacks so defenders can secure their own networks, and which also publishes its own write-ups, wrote about the mass disabling of Microsoft GitHub repositories.
“GitHub disabled 73 Microsoft repositories across four of its GitHub organizations—the entire Azure Functions org, the whole Durable Task family, and a row of AI sample apps—in a 105-second sweep on June 5,” the website wrote on Friday.
Is it very unusual for any company, let alone Microsoft, to disable so many of its own repositories in one go. They include 49 related to Azure, Microsoft’s cloud computing arm, and some concerning AI agents.
The shutdown repositories also include ones related to durabletask, a Microsoft development tool.
Researchers from StepSecurity wrote on Friday that the GitHub closures came after a malicious commit was pushed to the durabletask repository. That attack planted configuration files that would harvest peoples’ credentials when they opened the repository in Claude Code, Gemini CLI, Cursor, or VS Code, StepSecurity wrote.
Hackers from the group TeamPCP previously compromised Microsoft’s durabletask, publishing three malicious versions of the tool in May. TeamPCP has performed a wealth of supply chain attacks in the first half of this year, impacting hundreds of organizations, WIRED reported.
In practice, this means that any GitHub actions that used those repositories will no longer function. And coupled with the statement and research, indicates Microsoft did not fully protect itself and its users after the earlier compromise.
“Why is this mentioned nowhere?” one commentator on a Microsoft forum thread discussing one of the repository closures writes.
関連記事
Anthropic の Claude スキル構築完全ガイド
Anthropic は、Claude のスキルを技術的に定義する方法から設計・実装、テスト、配布までの完全な手順と、失敗時の対処法を解説したガイドを発表しました。
エージェントシステムにおける意図と実行の架橋
Amazon Science は、AI エージェントのパフォーマンスはモデル自体の問題ではなく、LLM とツール間の仲介役となるハッチ(OS)の設計がボトルネックであると指摘し、意図を実行に移すシステムの重要性を強調した。
マイクロソフト AI 最高責任者、超知能は近いが職を奪わないと発言
マイクロソフト AI のムスタファ・スレイマンCEOは、超知能の実現は間近にあるとしつつ、それが人間の雇用を奪うことはないとの見解を示した。