Microsoft trekt besmette repositories terug
In een onverwachte wending heeft Microsoft tientallen open‑source projecten op GitHub tijdelijk offline gehaald nadat duidelijk werd dat kwaadwillenden code hadden geïnjecteerd die wachtwoorden en andere gevoelige inloggegevens stal. De getroffen repositories, veelal onderdeel van de Azure‑cloudsuite en tools die AI‑ontwikkelaars gebruiken, werden onmiddellijk gedeactiveerd terwijl een onderzoek loopt.
Hoe de aanval plaatsvond
Security‑bedrijven Cloudsmith en OpenSourceMalware waren de eersten die de kwaadaardige code signaleerden. De malware was ingebed in populaire ontwikkeltools – waaronder de CLI van Gemini, Claude Code en onderdelen van VS Code – en werd geactiveerd zodra een gebruiker het geïnfecteerde pakket opende in een AI‑ontwikkelomgeving. Zodra de code draaide, werden de opgeslagen wachtwoorden en token‑gegevens naar een externe server gestuurd, waardoor hackers toegang kregen tot ontwikkelaars‑accounts.
Impact op ontwikkelaars en organisaties
Exacte cijfers over het aantal gedownloade pakketten zijn nog onbekend, maar Microsoft bevestigde dat meer dan zeventig projecten gedisableerd zijn. De meldingen op GitHub vermelden een “violation of GitHub’s terms of service”. Hoewel sommige repositories na een veiligheidscontrole al weer beschikbaar zijn, blijven andere offline totdat duidelijk is dat ze volledig gezuiverd zijn.
Voor bedrijven die zwaar leunen op Microsoft‑gebaseerde AI‑toolchains kan dit een serieuze risico‑analyse betekenen. Een compromitterende toegang tot cloud‑infrastructuur, broncode en klantgegevens kan zich snel uitbreiden, zeker bij supply‑chain aanvallen die gericht zijn op veelgebruikte bibliotheken.
Vergelijking met eerdere incidenten
Dit is niet de eerste hack op Microsoft‑open‑source tooling. Eind mei werd het project Durable Task, een component voor het bouwen van gedistribueerde applicaties, al eerder gecompromitteerd. Het recente voorval lijkt een “re‑compromise”, wat suggereert dat de aanvallers nog steeds een voet aan de grond hebben of dat er een geheel nieuwe inbraak is geweest. Het feit dat een gigant als Microsoft, met aanzienlijke beveiligingsbudgetten, toch slachtoffer wordt, onderstreept de toenemende sofistcatie van cybercriminelen.
Wat Microsoft nu doet
Microsoft‑woordvoerder Ben Hope gaf aan dat klanten die mogelijk getroffen zijn direct benaderd worden via de gebruikelijke supportkanalen. Het bedrijf blijft de situatie monitoren en heeft beloofd extra communicatie te sturen zodra er concrete acties nodig zijn. In de tussentijd adviseren security‑experts ontwikkelaars om hun wachtwoorden onmiddellijk te wijzigen, MFA in te schakelen en de authenticiteit van geïnstalleerde pakketten te verifiëren.
Vooruitzichten en lessen
Supply‑chain aanvallen laten zien hoe belangrijk een rigoureus software‑bill of materials (SBOM) en continue monitoring van derden‑code is. Organisaties moeten hun afhankelijkheden regelmatig scannen en vertrouwen op een zero‑trust benadering, zelfs binnen vertrouwde platformen. Het incident kan een wake‑up‑call zijn voor de hele industrie: open‑source is krachtig, maar het brengt ook inherente risico’s met zich mee die niet over het hoofd gezien mogen worden.