Microsoft's open source tools were hacked to steal passwords of AI developers

TL;DR Highlight

Microsoft의 Azure 관련 오픈소스 GitHub 저장소 70개 이상에 악성코드가 삽입되어 Claude Code, Gemini CLI, VS Code 등을 사용하는 AI 개발자들의 자격증명이 탈취될 수 있는 공급망 공격(supply chain attack)이 발생했다.

Who Should Read

Claude Code, Gemini CLI, VS Code, Cursor 등 AI 코딩 도구를 사용하면서 Microsoft의 Azure 관련 오픈소스 패키지를 쓰는 개발자. 특히 기업 환경에서 Azure SDK나 Durable Task 같은 Microsoft 오픈소스 툴을 사용하는 백엔드 및 클라우드 개발자.

Core Mechanics

Microsoft의 GitHub에서 호스팅 중인 오픈소스 프로젝트 최소 70개(일부 보고에선 73개)가 비활성화됐는데, GitHub이 직접 '서비스 약관 위반'을 이유로 접근을 차단했다. 아이러니하게도 Microsoft가 소유한 GitHub이 Microsoft의 저장소를 차단한 상황이다.
삽입된 악성코드는 Claude Code, Gemini CLI, VS Code 같은 AI 코딩 앱에서 해당 도구를 열 때 실행되도록 설계됐다. 즉, 단순히 패키지를 설치하는 것만으로도 자격증명이 노출될 수 있었다.
보안 업체 Cloudsmith와 오픈소스 악성코드 분석 사이트 OpenSourceMalware가 가장 먼저 이 해킹을 발견했으며, 악성코드는 사용자의 비밀번호와 민감한 자격증명(credentials)을 탈취하는 기능을 가지고 있었다.
이번 공격은 'Miasma Worm'이라고 불리며, 5월 중순에 있었던 Microsoft의 오픈소스 프로젝트 'Durable Task(앱 개발을 돕는 오케스트레이션 도구)' 해킹에 이어 두 번째로 확인된 침해 사건이다.
OpenSourceMalware는 이번 사건이 Durable Task 프로젝트의 '재침해(re-compromise)'일 가능성을 언급했는데, 이는 Microsoft가 첫 번째 해킹 때 공격자를 완전히 제거하지 못했거나 완전히 새로운 별개의 침해일 수 있음을 시사한다.
Microsoft는 영향을 받은 저장소를 일시적으로 내리고, 영향을 받았을 수 있는 소수의 고객에게 통보했다고 밝혔다. 일부 저장소는 검토 후 복구됐지만, 나머지는 아직 조사 중이다.
피해를 입은 프로젝트 목록은 opensourcemalware.com 블로그(miasma-reaches-azure 포스트)에서 확인할 수 있으며, 영향을 받은 저장소는 Azure 관련 도구들을 포함한다.
이 공격은 전형적인 공급망 공격(supply chain attack)으로, 많은 소프트웨어 제품에서 사용되는 코드나 클라우드 시스템과 대량의 고객 데이터에 접근 권한이 있는 특정 유형의 사용자를 노린다.

Evidence

댓글에서는 이번 해킹이 GitHub Personal Access Token(개인 접근 토큰)이 부적절하게 사용된 결과일 가능성이 높다는 의견이 나왔다. 특히 AI 에이전트에 클래식 토큰을 넘겨주는 행위가 위험하며, 세분화된 권한을 가진 Fine-grained 토큰 사용을 강제해야 한다는 주장이 있었다. 클래식 토큰이 아직도 허용된다는 사실 자체가 놀랍다는 반응도 있었다.
악성코드는 저장소에 자동 실행 설정 파일을 심어두는 방식으로 작동하며, VSCode/Cursor/Claude/Gemini 같은 도구를 사용하는 사람만 영향을 받는다는 구체적인 설명이 나왔다. Codex나 opencode 같은 다른 환경을 사용하는 사람은 상대적으로 안전하다는 분석도 댓글에 등장했다. 관련 기술 분석은 stepsecurity.io 블로그에 상세히 정리되어 있다.
AI 코딩 도구 확산으로 인해 기업의 RBAC(역할 기반 접근 제어) 모델이 사실상 무너졌다는 우려가 제기됐다. 개발자들이 여러 무관한 프로젝트를 동시에 작업하고, 관리자들도 개인 기기에서 'vibe coding'을 장려하면서 공급망 리스크가 기업 환경에서 극적으로 증가했다는 의견이 있었다.
npm install이나 pip install을 로컬 머신에서 직접 실행하지 말고 샌드박스 환경을 사용해야 한다는 실용적인 조언이 나왔다. 댓글 작성자는 amazing-sandbox 같은 도구를 활용해 공격 피해 범위(blast radius)를 줄이라고 권고했다.
기사 제목과 내용이 오픈소스 자체의 문제처럼 프레이밍되어 있다는 비판이 있었다. Microsoft가 저장소를 신속히 내리고 고객에게 통보한 것은 올바른 대응이었는데, 기사는 마치 Microsoft가 모든 잘못을 한 것처럼 묘사했다는 반론이 나왔다. 반면 Microsoft의 보안 수준에 대한 불신도 여전히 컸다.

How to Apply

Azure 관련 Microsoft 오픈소스 패키지를 최근에 설치했다면 opensourcemalware.com의 영향받은 73개 저장소 목록을 즉시 확인하고, 사용 중인 패키지가 포함돼 있으면 자격증명(GitHub 토큰, Azure 자격증명, 비밀번호 등)을 즉시 교체해야 한다.
Claude Code, Gemini CLI, Cursor, VS Code 같은 AI 코딩 도구에서 Microsoft 오픈소스 프로젝트를 직접 열거나 사용하는 경우, 해당 도구에 연결된 GitHub Personal Access Token을 Fine-grained 토큰(특정 저장소와 권한만 허용하는 방식)으로 교체하면 공격 피해 범위를 대폭 줄일 수 있다.
기업 환경에서 개발자들이 AI 코딩 도구를 개인 기기에서 자유롭게 사용하도록 허용 중이라면, SBOM(소프트웨어 자재 명세서, 사용 중인 모든 오픈소스 패키지 목록)을 관리하고 패키지 최소 릴리스 나이 정책을 설정해 방금 배포된 악성 버전이 자동으로 당겨지지 않도록 해야 한다.
패키지 설치 및 개발 작업을 샌드박스 환경(예: GitHub의 amazing-sandbox 프로젝트 참고)에서 수행하면, npm install이나 pip install 시 악성코드가 실행되더라도 호스트 시스템의 자격증명으로 접근하지 못하도록 격리할 수 있다.

Terminology

supply chain attack개발자가 직접 만든 코드가 아니라, 개발자가 가져다 쓰는 외부 라이브러리나 도구에 악성코드를 심어 간접적으로 공격하는 방식. 마치 식재료 공급업체를 해킹해 음식점 손님을 독살하는 것과 같다.

RBACRole-Based Access Control의 약자로, 역할별로 시스템 접근 권한을 나누는 보안 모델. 예를 들어 '개발자'는 코드 저장소만, '운영자'는 서버만 접근하도록 나누는 것.

Fine-grained tokenGitHub에서 특정 저장소, 특정 권한만 허용하는 세분화된 접근 토큰. 기존의 클래식 토큰이 '마스터키'라면, Fine-grained 토큰은 '특정 방만 열리는 키'에 해당한다.

SBOMSoftware Bill of Materials의 약자로, 소프트웨어가 사용하는 모든 오픈소스 컴포넌트와 버전을 목록화한 문서. 공급망 공격 발생 시 어떤 제품이 영향을 받는지 빠르게 파악하는 데 쓰인다.

re-compromise한 번 해킹 후 복구했다고 생각했는데 같은 곳이 다시 침해된 상황. 공격자가 완전히 제거되지 않았거나 백도어를 남겨뒀을 가능성을 시사한다.

blast radius보안 사고 발생 시 피해가 미치는 범위. 샌드박스나 권한 분리를 통해 이 범위를 최소화하는 것이 방어 전략의 핵심이다.