Innhold Vis
Hackere klarte å injisere malware direkte i Microsofts egne open source-verktøy på GitHub – og stjal passord fra AI-utviklere som lastet ned og kjørte dem. Det er ikke en teoretisk trussel. Det skjedde. Og det er mer alvorlig enn det høres ut som.
Angrepet ble oppdaget av sikkerhetsfirmaet Cloudsmith og malware-analysesiden OpenSourceMalware. De fant at minst 70 Microsoft-prosjekter hadde blitt kompromittert med ondsinnet kode. Blant verktøyene som ble rammet var integrasjoner for AI-kodingsapper som Claude Code, Gemini command-line interface og VS Code-utvidelser koblet til Microsofts Azure-tjenester.
Det er verdt å stoppe opp her. Dette handler ikke om et obskurt hjørne av GitHub. Det handler om verktøy som brukes av tusenvis av utviklere daglig – folk som lager AI-produkter, kobler opp APIer og kjører agenter. Akkurat den gruppen som holder sensitiv legitimasjon lagret lokalt.
Hva er et supply chain-angrep?
Et supply chain-angrep går ikke mot deg direkte. Det går mot kildekoden du stoler på – biblioteker, verktøy og avhengigheter du installerer som en del av arbeidsflyten din. Når malwaren først er inne i et kjent og klarert verktøy, trenger angriperen ikke lure deg til å gjøre noe dumt. Du gjør det selv ved å følge normal arbeidsflyt.
I dette tilfellet injiserte hackerne kode i Microsofts open source-repoer på GitHub. Koden ble liggende der til noen lastet ned og åpnet verktøyet – da kjørte malwaren og stjal passord og sensitive credentials fra maskinen.
Det som gjør supply chain-angrep spesielt ubehagelige er at de utnytter tillit. Du sjekker ikke om et verktøy fra Microsoft er trygt – selvfølgelig er det trygt, det er jo Microsoft. Det er nøyaktig den tanken angriperne spiller på.
Hvilke verktøy ble rammet?
Ifølge TechCrunch ble minst 70 Microsoft-prosjekter midlertidig tatt offline mens Microsoft etterforsket. Blant de spesifikt nevnte:
- Durable Task – et Azure-rammeverk for langkjørende workflows. Dette prosjektet ble faktisk hacket to ganger på få uker.
- Verktøy som integrerer med AI-kodingsapper – spesifikt nevnes Claude Code, Geminis kommandolinjeverktøy og VS Code-utvidelser.
- Flere Azure-relaterte applikasjoner og biblioteker.
At Durable Task ble truffet to ganger er bekymringsfullt. Det tyder enten på at noen aktivt overvåker repoet for å re-kompromittere det, eller at det finnes en tilgangsvei Microsoft ikke har lukket etter første angrep.
Hva ble faktisk stjålet?
Malwaren var designet for å hente ut passord og sensitive credentials fra maskiner der de kompromitterte verktøyene ble åpnet. For AI-utviklere betyr dette potensielt:
- API-nøkler til OpenAI, Anthropic, Google og andre AI-leverandører
- Azure-credentials og tilgangstoken
- GitHub-tokens med skrivetilgang til repoer
- Lokalt lagrede passord fra password managers eller miljøvariabler (.env-filer)
Microsoft har ikke offentliggjort hvor mange utviklere som faktisk ble rammet. Det er en svakhet i kommunikasjonen – de burde si noe om omfanget selv om tallene er ubehagelige.
Hva gjorde Microsoft?
Microsofts talsperson Ben Hope fortalte TechCrunch at de «midlertidig fjernet noen repoer mens vi etterforsket potensielt ondsinnet innhold.» Noen ble gjenopprettet etter gjennomgang – andre er fortsatt offline.
Det er greit å være transparent om prosessen. Det som mangler er det viktigste: en klar kommunikasjon til de som kan ha blitt rammet. Hvis du brukte et av disse verktøyene i mai eller juni 2026 og er Microsoft-kunde, burde du ha fått en direkte varsel. Ikke en pressemelding via TechCrunch.
Dette er et klassisk eksempel på at store selskaper er bedre på å håndtere PR enn å beskytte brukerne sine. Men det er ikke overraskende – det er dessverre normen.
Er dette noe å bekymre seg over som norsk AI-utvikler?
Ja. Og her er den konkrete grunnen: AI-utviklere er et spesielt attraktivt mål akkurat nå. De har typisk API-nøkler til tjenester som koster mye å misbruke. En stjålet OpenAI-nøkkel kan raskt generere titusenvis av kroner i kostnader. En stjålet GitHub-token med skrivetilgang åpner for nye supply chain-angrep nedover i kjeden.
Det at angrepet gikk spesifikt etter verktøy integrert med Claude Code og Gemini CLI er heller ikke tilfeldig. Noen har identifisert AI-kodings-workflows som et lukrativt angrepsvektor. Det er noe vi alle bør ta innover oss – og som illustrerer at AI-verktøy introduserer nye sikkerhetsutfordringer som bransjen ikke er ferdig med å forstå.
Hva bør du gjøre nå?
Noen konkrete tiltak hvis du har brukt Microsoft Azure-verktøy, Durable Task eller tilhørende VS Code-utvidelser de siste ukene:
- Roter alle API-nøkler umiddelbart. OpenAI, Anthropic, Google, Azure – alle. Det tar 10 minutter og gir deg ro i sinnet.
- Sjekk GitHub-tokens. Gå til GitHub Settings > Developer settings > Personal access tokens. Tilbakekall alt du ikke husker å ha opprettet.
- Sjekk om det er unormal API-bruk. Alle de store AI-leverandørene har brukslogg. Se gjennom for mistenkelige kall.
- Gjennomgå .env-filer. Har du lagt credentials i tekstfiler lokalt? Roter dem og vurder en proper secrets manager.
- Hold deg til offisielle pakkeregistre. npm, PyPI, NuGet – installer alltid via de offisielle kanalene, og vær varsom med direkte GitHub-installasjoner fra ukjente kilder.
Den siste punktet er litt ironisk i dette tilfellet – angrepet kom jo via et kjent og klarert selskap. Men det understreker poenget: supply chain-sikkerhet handler ikke bare om å unngå tvilsomme repoer. Det handler om å ha gode rutiner for rotation av credentials, slik at skaden begrenses selv om noe går galt.
Hva betyr dette for open source-tilliten generelt?
Det er det store spørsmålet. Open source er bygget på tillit. Hele modellen forutsetter at kode er synlig, at mange øyne ser over den, og at det er vanskelig å skjule ondsinnet innhold lenge. Teorien er god. Praksis er mer komplisert.
GitHub er blitt så stort og inneholder så mange repoer at det er umulig å manuelt verifisere alt. Selv Microsofts egne prosjekter, som presumptivt har interne code review-prosesser, ble kompromittert – og én av dem to ganger. Det forteller deg noe om skalautfordringen.
Jeg tror ikke dette betyr at du skal slutte å bruke open source. Det betyr at du bør behandle det med samme forsiktighet du (forhåpentligvis) behandler all annen ekstern kode: ikke anta at en kjent avsender automatisk betyr trygg kode, og ha rutiner på plass for hva du gjør hvis noe likevel skulle gå galt.
Supply chain-angrep mot AI-verktøy vil ikke bli mindre vanlig fremover. Tvert imot. Jo mer verdifull legitimasjonen AI-utviklere sitter på er, jo mer attraktivt er det å gå etter dem. Det er et problem som krever bedre verktøy, bedre prosesser – og mer åpenhet fra selskaper som Microsoft når ting går galt.
Ofte stilte spørsmål
Vet jeg om jeg ble rammet av dette angrepet?
Microsoft har ikke sendt direkte varsler til berørte brukere. Sjekk bruksloggen hos AI-leverandørene dine (OpenAI, Anthropic, Google) for unormal aktivitet, og se gjennom GitHub Personal Access Tokens for ukjente oppføringer. Er du usikker – roter credentials uansett, det er gratis forsikring.
Er det farlig å bruke Microsoft-verktøy fra GitHub nå?
Microsoft fjernet de kompromitterte repoene og gjenopprettet dem etter gjennomgang. Per juni 2026 er de berørte repoene enten renset eller fortsatt offline. Det er trygt å bruke igjen – men dette er en god påminnelse om å alltid installere via offisielle pakkeregistre (npm, PyPI, NuGet) fremfor direkte GitHub-kloner.
Hva er forskjellen på et supply chain-angrep og et vanlig hack?
Et vanlig hack går mot deg direkte (phishing, svakt passord, sårbar server). Et supply chain-angrep går mot verktøy du allerede stoler på – biblioteker, plugins, utviklingsverktøy. Du gjør ingenting galt, men koden du kjører er forgiftet. Det er vanskeligere å oppdage nettopp fordi du ikke er på vakt.
Burde jeg slutte å bruke open source-verktøy for AI-utvikling?
Nei. Men du bør rotere API-nøkler og tokens jevnlig uansett om noe har gått galt, og bruke en secrets manager fremfor .env-filer der det er mulig. Open source er ikke farligere enn proprietær kode – det er bare en annen risikoprofil som krever litt andre rutiner.
