Открыл репозиторий в Claude Code — и ключи украдены: атака вырубила 73 репозитория Microsoft

5 июня неизвестные злоумышленники добавили вредоносный код в один из репозиториев Microsoft на GitHub — Azure/durabletask. Хитрость в том, что код срабатывает не при установке программы, а в момент, когда разработчик просто открывает папку проекта в популярных ИИ-помощниках для написания кода: Claude Code, Gemini CLI, Cursor или редакторе VS Code. После этого он молча собирает ключи доступа и пароли с компьютера жертвы. Через несколько часов GitHub отреагировал жестко: автоматика отключила сразу 73 репозитория в четырёх подразделениях Microsoft — и уложилась в 105 секунд, двумя волнами. Подробный разбор инцидента опубликовала компания StepSecurity.

Главное в этой истории — смена самого принципа атаки. Раньше вредоносный код прятали внутрь устанавливаемых библиотек: он запускался, когда инженер подключал зараженный пакет к своему проекту. Теперь же код лежит прямо в папке с проектом и активируется в тот момент, когда эту папку открывают в редакторе или ИИ-агенте. То есть скачать копию репозитория к себе — безопасно. А вот открыть ее — уже нет. Фактически злоумышленники научились превращать настройки вашего редактора в спусковой крючок.

Всего в репозиторий подбросили пять файлов, рассчитанных сразу на четыре сценария запуска:

настройку для Claude Code, которая выполняет вредоносный код при старте сессии;

такую же настройку для Gemini CLI;

спрятанную инструкцию для ИИ-агента Cursor — она замаскирована под "обязательный шаг настройки проекта" и заставляет агента самому запустить вредонос;

автозадачу для VS Code, которая срабатывает при открытии папки — причем тут ИИ вообще не нужен, все происходит само;

и сам вредоносный код — запутанный файл на 4,6 МБ, который и ворует ключи и пароли.

Самым болезненным последствием стало отключение