AI 編碼助手

深度分析

GitHub 套件被植入 Miasma 惡意程式碼 攻擊利用 OIDC 令牌與 SLSA 簽名

上週末，微軟 GitHub 上逾七十套開源套件被植入可竊取 AWS、Azure、GCP 等雲端憑證的惡意程式，且會在開發者使用 AI 編碼助手時觸發。攻擊者利用合法 OIDC 令牌與 SLSA 供應鏈驗證，讓偽裝的套件通過雜湊檢測，導致大量開發環境被入侵，安全風險大幅升高。