Trong vòng vài tuần, Microsoft lần thứ hai phát hiện các gói phần mềm bị cài cắm mã độc đánh cắp thông tin đăng nhập.
Cuối tuần trước, hàng chục gói mã nguồn mở được Microsoft xác minh bằng mật mã đã bị xâm phạm để bổ sung mã đánh cắp thông tin xác thực nâng cao, được kích hoạt khi các nhà phát triển mở chúng trong các tác nhân mã hóa AI. Tổng cộng, nhiều nhà nghiên cứu cho biết, 73 gói đã bị gắn cờ là độc hại khi các hệ thống tự động trên GitHub chặn chúng trên nền tảng. Thay vì thông báo chúng là độc hại—và rằng các nhà phát triển đã sử dụng tác nhân AI để làm việc với chúng nên giả định hệ thống của họ đã bị xâm phạm—GitHub, thuộc sở hữu của Microsoft, cho biết họ đã vô hiệu hóa các gói này “do vi phạm điều khoản dịch vụ của GitHub”.
Hàng chục gói mã nguồn mở được xác minh bằng mật mã của Microsoft đã bị xâm phạm vào cuối tuần trước để thêm mã đánh cắp thông tin đăng nhập nâng cao, được kích hoạt khi các nhà phát triển mở chúng trong các tác nhân mã hóa AI.
Tổng cộng, nhiều nhà nghiên cứu cho biết, 73 gói đã bị gắn cờ là độc hại khi các hệ thống tự động trên GitHub chặn chúng trên nền tảng. Thay vì lưu ý rằng chúng độc hại—và các nhà phát triển đã sử dụng tác nhân AI để làm việc với chúng nên cho rằng hệ thống của họ đã bị xâm phạm—GitHub thuộc sở hữu của Microsoft cho biết họ đã vô hiệu hóa các gói “do vi phạm điều khoản dịch vụ của GitHub”. Văn bản tiếp tục khuyến khích chủ sở hữu gói liên hệ với GitHub.
Các nhà phát triển: Hãy coi là bị xâm phạm và hành động phù hợp
Mãi đến thứ Hai, Microsoft mới đưa ra khả năng các gói bị nhiễm độc. Trong một email, công ty tuyên bố: “Chúng tôi đã tạm thời xóa một số kho lưu trữ khi chúng tôi điều tra nội dung độc hại tiềm ẩn”.
Đọc toàn bộ bài viết
Bình luận
Nguồn tin: Ars Technica AI — Tác giả: Dan Goodin. Bản dịch tiếng Việt do AI thực hiện, có thể có sai sót.