Microsoft의 오픈소스 GitHub 프로젝트들이 해킹되어 AI 개발자 패스워드 탈취 악성코드 삽입
Microsoft's open source tools were hacked to steal passwords of AI developers
TL;DR Highlight
Microsoft의 Azure 관련 오픈소스 GitHub 저장소 70개 이상에 악성코드가 삽입되어 Claude Code, Gemini CLI, VS Code 등을 사용하는 AI 개발자들의 자격증명이 탈취될 수 있는 공급망 공격(supply chain attack)이 발생했다.
Who Should Read
Claude Code, Gemini CLI, VS Code, Cursor 등 AI 코딩 도구를 사용하면서 Microsoft의 Azure 관련 오픈소스 패키지를 쓰는 개발자. 특히 기업 환경에서 Azure SDK나 Durable Task 같은 Microsoft 오픈소스 툴을 사용하는 백엔드 및 클라우드 개발자.
Core Mechanics
- Microsoft의 GitHub에서 호스팅 중인 오픈소스 프로젝트 최소 70개(일부 보고에선 73개)가 비활성화됐는데, GitHub이 직접 '서비스 약관 위반'을 이유로 접근을 차단했다. 아이러니하게도 Microsoft가 소유한 GitHub이 Microsoft의 저장소를 차단한 상황이다.
- 삽입된 악성코드는 Claude Code, Gemini CLI, VS Code 같은 AI 코딩 앱에서 해당 도구를 열 때 실행되도록 설계됐다. 즉, 단순히 패키지를 설치하는 것만으로도 자격증명이 노출될 수 있었다.
- 보안 업체 Cloudsmith와 오픈소스 악성코드 분석 사이트 OpenSourceMalware가 가장 먼저 이 해킹을 발견했으며, 악성코드는 사용자의 비밀번호와 민감한 자격증명(credentials)을 탈취하는 기능을 가지고 있었다.
- 이번 공격은 'Miasma Worm'이라고 불리며, 5월 중순에 있었던 Microsoft의 오픈소스 프로젝트 'Durable Task(앱 개발을 돕는 오케스트레이션 도구)' 해킹에 이어 두 번째로 확인된 침해 사건이다.
- OpenSourceMalware는 이번 사건이 Durable Task 프로젝트의 '재침해(re-compromise)'일 가능성을 언급했는데, 이는 Microsoft가 첫 번째 해킹 때 공격자를 완전히 제거하지 못했거나 완전히 새로운 별개의 침해일 수 있음을 시사한다.
- Microsoft는 영향을 받은 저장소를 일시적으로 내리고, 영향을 받았을 수 있는 소수의 고객에게 통보했다고 밝혔다. 일부 저장소는 검토 후 복구됐지만, 나머지는 아직 조사 중이다.
- 피해를 입은 프로젝트 목록은 opensourcemalware.com 블로그(miasma-reaches-azure 포스트)에서 확인할 수 있으며, 영향을 받은 저장소는 Azure 관련 도구들을 포함한다.
- 이 공격은 전형적인 공급망 공격(supply chain attack)으로, 많은 소프트웨어 제품에서 사용되는 코드나 클라우드 시스템과 대량의 고객 데이터에 접근 권한이 있는 특정 유형의 사용자를 노린다.
Evidence
- 댓글에서는 이번 해킹이 GitHub Personal Access Token(개인 접근 토큰)이 부적절하게 사용된 결과일 가능성이 높다는 의견이 나왔다. 특히 AI 에이전트에 클래식 토큰을 넘겨주는 행위가 위험하며, 세분화된 권한을 가진 Fine-grained 토큰 사용을 강제해야 한다는 주장이 있었다. 클래식 토큰이 아직도 허용된다는 사실 자체가 놀랍다는 반응도 있었다.
- 악성코드는 저장소에 자동 실행 설정 파일을 심어두는 방식으로 작동하며, VSCode/Cursor/Claude/Gemini 같은 도구를 사용하는 사람만 영향을 받는다는 구체적인 설명이 나왔다. Codex나 opencode 같은 다른 환경을 사용하는 사람은 상대적으로 안전하다는 분석도 댓글에 등장했다. 관련 기술 분석은 stepsecurity.io 블로그에 상세히 정리되어 있다.
- AI 코딩 도구 확산으로 인해 기업의 RBAC(역할 기반 접근 제어) 모델이 사실상 무너졌다는 우려가 제기됐다. 개발자들이 여러 무관한 프로젝트를 동시에 작업하고, 관리자들도 개인 기기에서 'vibe coding'을 장려하면서 공급망 리스크가 기업 환경에서 극적으로 증가했다는 의견이 있었다.
- npm install이나 pip install을 로컬 머신에서 직접 실행하지 말고 샌드박스 환경을 사용해야 한다는 실용적인 조언이 나왔다. 댓글 작성자는 amazing-sandbox 같은 도구를 활용해 공격 피해 범위(blast radius)를 줄이라고 권고했다.
- 기사 제목과 내용이 오픈소스 자체의 문제처럼 프레이밍되어 있다는 비판이 있었다. Microsoft가 저장소를 신속히 내리고 고객에게 통보한 것은 올바른 대응이었는데, 기사는 마치 Microsoft가 모든 잘못을 한 것처럼 묘사했다는 반론이 나왔다. 반면 Microsoft의 보안 수준에 대한 불신도 여전히 컸다.
How to Apply
- Azure 관련 Microsoft 오픈소스 패키지를 최근에 설치했다면 opensourcemalware.com의 영향받은 73개 저장소 목록을 즉시 확인하고, 사용 중인 패키지가 포함돼 있으면 자격증명(GitHub 토큰, Azure 자격증명, 비밀번호 등)을 즉시 교체해야 한다.
- Claude Code, Gemini CLI, Cursor, VS Code 같은 AI 코딩 도구에서 Microsoft 오픈소스 프로젝트를 직접 열거나 사용하는 경우, 해당 도구에 연결된 GitHub Personal Access Token을 Fine-grained 토큰(특정 저장소와 권한만 허용하는 방식)으로 교체하면 공격 피해 범위를 대폭 줄일 수 있다.
- 기업 환경에서 개발자들이 AI 코딩 도구를 개인 기기에서 자유롭게 사용하도록 허용 중이라면, SBOM(소프트웨어 자재 명세서, 사용 중인 모든 오픈소스 패키지 목록)을 관리하고 패키지 최소 릴리스 나이 정책을 설정해 방금 배포된 악성 버전이 자동으로 당겨지지 않도록 해야 한다.
- 패키지 설치 및 개발 작업을 샌드박스 환경(예: GitHub의 amazing-sandbox 프로젝트 참고)에서 수행하면, npm install이나 pip install 시 악성코드가 실행되더라도 호스트 시스템의 자격증명으로 접근하지 못하도록 격리할 수 있다.
Terminology
관련 논문
ctx – 로컬 머신의 코딩 에이전트 히스토리를 검색하는 CLI 도구
Claude Code, Cursor, Codex 등 코딩 에이전트가 이전 세션의 논의·결정·실패 시도를 잊지 않도록 SQLite로 인덱싱해 재사용할 수 있게 해주는 오픈소스 CLI 도구다.
Micro-Agent: Model API 내부 협업으로 Frontier 모델을 이기는 방법 (vLLM Semantic Router)
vLLM 팀이 단일 모델 API 호출 뒤에서 여러 모델이 협업하는 'Micro-Agent' 개념을 공개했습니다. 별도의 에이전트 코드 없이 라우터 레이어에서 모델 조합을 실행해 GPT-4급 결과를 더 저렴하게 낼 수 있다는 아이디어입니다.
Ornith-1.0: 에이전틱 코딩을 위한 자기 개선형 오픈소스 모델
Gemma 4와 Qwen 3.5를 기반으로 파인튜닝한 코딩 특화 오픈소스 모델로, RL(강화학습)을 통해 스캐폴드(에이전트 실행 구조)까지 함께 최적화하는 방식을 주장하지만, 커뮤니티에서는 벤치마크 과최적화에 불과하다는 의심을 받고 있다.
Tool-Augmented Agent에서의 Entity Binding 실패 분석
AI 에이전트가 올바른 도구를 선택해도 잘못된 대상에 실행하는 'Entity Binding 실패' 문제를 정의하고, 이를 막는 실행 정책을 평가한 논문.
Herdr: 터미널에서 여러 AI Agent를 한 번에 관리하는 Agent Multiplexer
여러 AI 코딩 에이전트(Claude, Codex 등)를 하나의 터미널에서 동시에 실행·관리할 수 있는 Rust 기반 오픈소스 툴로, tmux처럼 세션이 유지되고 SSH로 원격 접속도 가능해 멀티 에이전트 워크플로우를 크게 단순화해준다.
Ornith-1.0: 스스로 Scaffold를 생성하는 Agentic Coding LLM
모델이 문제 풀이 전략(scaffold)을 직접 생성하고 개선하는 자기강화 학습 프레임워크를 적용한 오픈소스 코딩 특화 LLM으로, 9B 소형 모델부터 397B 대형 모델까지 라인업을 갖추고 SWE-Bench 등 주요 벤치마크에서 Claude Opus 4.7을 능가하는 성능을 보여줬다.
Related Resources
- https://techcrunch.com/2026/06/08/microsofts-open-source-tools-were-hacked-to-steal-passwords-of-ai-developers/
- https://opensourcemalware.com/blog/miasma-reaches-azure
- https://www.stepsecurity.io/blog/miasma-worm-hits-microsoft
- https://news.ycombinator.com/item?id=48418318
- https://news.ycombinator.com/item?id=48450543
- https://github.com/ashishb/amazing-sandbox