MS 오픈소스 도구 해킹으로 AI 개발자 비밀번호 탈취
원제: Microsoft's open source tools were hacked to steal passwords of AI developers
왜 중요한가
대형 기술 기업의 오픈소스 프로젝트 침해로 AI 개발 생태계 보안 위험성이 부각됨
마이크로소프트가 GitHub에서 호스팅하는 수십 개 오픈소스 프로젝트가 해킹당해 AI 개발자들의 비밀번호를 탈취하는 악성코드가 삽입됐다. 최소 70개 프로젝트가 비활성화됐으며, 대부분 Azure 및 AI 개발 도구와 관련된 것으로 확인됐다.
마이크로소프트는 해커들이 GitHub에서 호스팅되는 오픈소스 프로젝트를 침해해 비밀번호 탈취 악성코드를 삽입한 것을 조사하기 위해 수십 개 프로젝트에 대한 접근을 차단했다. 영향을 받은 프로젝트들은 주로 마이크로소프트 클라우드 서비스 Azure와 Claude Code, Gemini 명령줄 인터페이스, VS Code 등 AI 개발 앱에서 사용되는 도구들이다. 보안회사 Cloudsmith와 커뮤니티 기반 악성코드 분석 사이트 OpenSourceMalware가 이 해킹을 최초로 발견했으며, 악성코드는 사용자들이 AI 코딩 앱에서 손상된 도구를 열 때 비밀번호와 민감한 자격 증명을 탈취할 수 있게 했다. 마이크로소프트 대변인 Ben Hope는 '잠재적 악성 콘텐츠를 조사하기 위해 일부 저장소를 임시로 제거했다'며 '일부는 검토 후 복원됐지만 다른 것들은 작업이 계속되는 동안 오프라인 상태를 유지할 수 있다'고 밝혔다. 최소 70개의 마이크로소프트 프로젝트가 '비활성화'됐으며, 이는 공급망 공격의 최신 사례로 널리 사용되는 오픈소스 프로젝트를 표적으로 삼아 다수 사용자에게 악성코드를 심는 수법이다.