Microsoft отключила более 70 собственных репозиториев на GitHub, включая связанные с облачной платформой Azure и ИИ-агентами, в рамках расследования атаки на цепочку поставок, сообщает 404 Media.
Компания подтвердила изданию, что «временно удалила ряд репозиториев в ходе проверки на наличие вредоносного содержимого». По данным исследователей из StepSecurity, GitHub отключил 73 репозитория Microsoft за 105 секунд 5 июня. Отключения охватили всю организацию Azure Functions, семейство Durable Task и ряд ИИ-приложений. На страницах отключенных репозиториев появилось сообщение о нарушении правил использования сервиса.
Атака оказалась возможна после того, как в репозиторий durabletask — официального Python-клиента Microsoft для фреймворка Durable Task — был внедрен вредоносный коммит с конфигурационными файлами, которые похищают учетные данные пользователя в момент открытия репозитория в ИИ-помощниках для программирования: Claude Code, Gemini CLI, Cursor или VS Code. По данным StepSecurity, вредонос срабатывает не при установке пакета, а при простом открытии директории проекта в одном из этих инструментов.
Отключение репозиториев немедленно сказалось на разработчиках по всему миру. GitHub Actions — система автоматизации, которая запускает тесты, сборку и публикацию кода по заранее заданным сценариям — обращается к репозиториям напрямую. Когда репозиторий отключают, все автоматические сценарии сборки и публикации, которые на него ссылаются, просто ломаются. В числе отключенных оказался azure/functions-action — официальный инструмент Microsoft для автоматической публикации кода в облако Azure. На форуме Microsoft быстро набралась ветка жалоб от десятков разработчиков, у которых разом встали сборки, причем ни Microsoft, ни GitHub поначалу не объясняли публично, что происходит.
Отмечается, что инцидент показал, что предыдущая компрометация durabletask в мае не была отработана Microsoft в полной мере, поскольку хакерам удалось повторно внедрить вредоносный код в те же репозитории.
В мае 2026 года группа TeamPCP взломала около 3800 внутренних репозиториев самого GitHub — через зараженное расширение для VS Code, которое установил один из сотрудников компании. Украденный код был выставлен на продажу на хакерских форумах за $50 тысяч. GitHub подтвердил инцидент и заявил, что пользовательские данные не пострадали, однако атака стала одним из крупнейших взломов в истории платформы.
Ранее финская компания по кибербезопасности WithSecure раскрыла детали деятельности ранее неизвестной хакерской группировки GREYVIBE, которая как минимум с августа 2025 года атакует военных, чиновников и гражданских лиц в Украине. Отличительная черта группировки — систематическое использование генеративного искусственного интеллекта на всех этапах операций.
