Hvis du bruker Claude eller Gemini, betyr dette Microsoft-bruddet at dataene dine er i fare

Et svært sofistikert supply chain-angrep kjent som Miasma-ormen har kompromittert dusinvis av Microsoft-eide GitHub-repositorier, og distribuert skadevare spesielt designet for å detonere inne i AI-kodeassistenter som Claude Code, Gemini CLI, Cursor og VS Code.

Den 5. juni 2026 ble GitHub tvunget til å deaktivere 73 repositorier på tvers av fire Microsoft-organisasjoner – inkludert kjerneinfrastruktur for Azure – etter at en ondsinnet bidragsyter injiserte selvreplikerende skadevare som stjeler legitimasjon.

Hvis du bruker AI-agenter til å navigere eller skrive kode, er her hva du trenger å vite om bruddet og hvordan du sikrer miljøet ditt.

Hvordan fellen utløses

Historisk sett har utviklere bekymret seg for skadevare i livssyklusskript under pakkeinstallasjon (som å kjøre npm install). Miasma-ormen introduserer et nytt farlig paradigme: nyttelasten utføres bare ved å åpne prosjektmappen.

Angriperne oppnådde dette ved å bevæpne konfigurasjonsfilene som AI-kodeagenter bruker for å forstå et prosjekt. Ved å gjemme ondsinnede kommandoer inne i standard oppsettskroker, lurer skadevaren AI-assistenten til å kjøre nyttelasten automatisk.

Her er hvordan den retter seg mot spesifikke verktøy:

• Claude Code & Gemini CLI: Angriperne plantet ondsinnede .claude/settings.json og .gemini/settings.json filer. Disse inneholder en “SessionStart”-krok som stille utfører skadevaren i det øyeblikket AI-agenten kobler til repositoriet.
• Cursor: En prompt-injeksjon i .cursor/rules/setup.mdc lurer Cursor AI til å tro at den må kjøre skadevaren for å “initialisere prosjektmiljøet.”
• VS Code: En modifisert .vscode/tasks.json fil kjører nyttelasten automatisk så snart mappen åpnes.

Hva skadevaren stjeler

Nyttelasten i seg selv er en massiv 4,6 MB obfuskert JavaScript-fil (.github/setup.js) bygget for ett formål: aggressiv tyveri av legitimasjon.

Når den er utløst av din AI-agent eller IDE, jakter skadevaren umiddelbart etter:

• Sky-nøkler: Legitimasjon for AWS, Google Cloud Platform (GCP) og Microsoft Azure.
• Utviklerhemmeligheter: GitHub Actions-hemmeligheter trukket direkte fra prosessminne.
• Lokale passordlagre: Ulåste data fra passordadministratorer som 1Password og gopass.
• Infrastrukturkonfigurasjoner: Passord gjemt i .env-filer, Docker-konfigurasjoner og Kubernetes-miljøer.

Fordi nyttelasten stjeler legitime OAuth-tokens og sky-nøkler, kan angriperne omgå tradisjonelle sikkerhetsskannere, slik at ormen kan spre seg lateralt gjennom bedriftsnettverk og publisere ytterligere ondsinnet kode under pålitelige utvikleridentiteter.

Hvordan beskytte deg selv

AI-agent-vinkelen krever et skifte i hvordan utviklere behandler åpen kildekode. Å åpne et upålitelig eller kompromittert repositorium inne i en AI-assistent bærer nå nøyaktig samme risikoprofil som å kjøre en tilfeldig kjørbar fil.

Hvis du nylig har klonet eller interagert med Microsoft- eller Azure-repositorier (spesielt rundt durabletask-rammeverket) ved hjelp av Claude Code, Gemini CLI eller Cursor, anta at miljøet ditt kan være kompromittert.

Umiddelbare handlingstrinn

1. Sjekk for mistenkelige konfigurasjoner: Før du åpner et eksternt repositorium i et AI-verktøy, inspiser rotmappen for uventede .claude, .gemini, .cursor eller .vscode mapper. Se etter “SessionStart”-kroker som peker til ukjente JavaScript- eller shell-filer.
2. Roter legitimasjon: Hvis du mistenker eksponering, roter umiddelbart dine GitHub Personal Access Tokens (PATs), SSH-nøkler, CI/CD-signeringsnøkler og all aktiv skyleverandørlegitimasjon.
3. Rullér AI-tillatelser: Sørg for at dine AI-kodeagenter er eksplisitt begrenset fra å kjøre automatiske oppstartsskript eller få tilgang til sensitive lokale mapper uten manuell godkjenning.