Als je Claude of Gemini gebruikt, betekent deze Microsoft-inbreuk dat je gegevens risico lopen

Een zeer geavanceerde supply chain-aanval, bekend als de Miasma-worm, heeft tientallen Microsoft GitHub-repositories gecompromitteerd met malware die specifiek is ontworpen om tot ontploffing te komen in AI-codeerassistenten zoals Claude Code, Gemini CLI, Cursor en VS Code.

Op 5 juni 2026 werd GitHub gedwongen om 73 repositories in vier Microsoft-organisaties — inclusief kerninfrastructuur voor Azure — uit te schakelen nadat een kwaadwillende bijdrager zelfreplicerende malware had geïnjecteerd die inloggegevens verzamelt.

Als je AI-agenten gebruikt om code te navigeren of te schrijven, is hier wat je moet weten over de inbreuk en hoe je je omgeving kunt beveiligen.

Hoe de val wordt gezet

Historisch gezien maakten ontwikkelaars zich zorgen over malware in levenscyclusscripts tijdens pakketinstallatie (zoals npm install). De Miasma-worm introduceert een nieuw gevaarlijk paradigma: de payload wordt uitgevoerd door simpelweg de projectmap te openen.

De aanvallers bereikten dit door de configuratiebestanden te bewapenen die AI-codeeragenten gebruiken om een project te begrijpen. Door kwaadaardige opdrachten te verbergen in standaard setup-hooks, misleidt de malware de AI-assistent om de payload automatisch uit te voeren.

Hier is hoe het zich richt op specifieke tools:

• Claude Code & Gemini CLI: De aanvallers plaatsten kwaadaardige .claude/settings.json en .gemini/settings.json bestanden. Deze bevatten een “SessionStart”-hook die de malware stilletjes uitvoert zodra de AI-agent verbinding maakt met de repository.
• Cursor: Een prompt-injectie in .cursor/rules/setup.mdc misleidt de Cursor AI om te geloven dat het de malware moet uitvoeren om de “projectomgeving te initialiseren.”
• VS Code: Een aangepast .vscode/tasks.json bestand voert de payload automatisch uit zodra de map wordt geopend.

Wat de malware steelt

De payload zelf is een enorm 4,6 MB verborgen JavaScript-bestand (.github/setup.js) gebouwd voor één doel: agressieve diefstal van inloggegevens.

Eenmaal geactiveerd door je AI-agent of IDE, jaagt de malware onmiddellijk op:

• Cloud-sleutels: Inloggegevens voor AWS, Google Cloud Platform (GCP) en Microsoft Azure.
• Ontwikkelaarsgeheimen: GitHub Actions-geheimen rechtstreeks uit het procesgeheugen gehaald.
• Lokale wachtwoordkluizen: Ontgrendelde gegevens van wachtwoordmanagers zoals 1Password en gopass.
• Infrastructuurconfiguraties: Wachtwoorden verborgen in .env-bestanden, Docker-configuraties en Kubernetes-omgevingen.

Omdat de payload legitieme OAuth-tokens en cloud-sleutels steelt, kunnen de aanvallers traditionele beveiligingsscanners omzeilen, waardoor de worm zich lateraal door bedrijfsnetwerken kan verspreiden en verdere kwaadaardige code kan publiceren onder vertrouwde ontwikkelaarsidentiteiten.

Hoe je jezelf kunt beschermen

De AI-agent invalshoek vereist een verschuiving in hoe ontwikkelaars omgaan met open-source code. Het openen van een niet-vertrouwde of gecompromitteerde repository in een AI-assistent heeft nu hetzelfde risicoprofiel als het uitvoeren van een willekeurig uitvoerbaar bestand.

Als je onlangs Microsoft- of Azure-repositories hebt gekloond of ermee hebt gewerkt (met name rond het durabletask framework) met Claude Code, Gemini CLI of Cursor, neem dan aan dat je omgeving mogelijk gecompromitteerd is.

Onmiddellijke actiestappen

1. Controleer op verdachte configuraties: Voordat je een externe repository opent in een AI-tool, inspecteer de hoofdmap op onverwachte .claude, .gemini, .cursor of .vscode mappen. Zoek naar “SessionStart”-hooks die verwijzen naar onbekende JavaScript- of shell-bestanden.
2. Ververs inloggegevens: Als je vermoedt dat je bent blootgesteld, ververs dan onmiddellijk je GitHub Personal Access Tokens (PATs), SSH-sleutels, CI/CD-ondertekeningssleutels en alle actieve cloudprovider-inloggegevens.
3. Controleer AI-machtigingen: Zorg ervoor dat je AI-codeeragenten expliciet worden beperkt van het automatisch uitvoeren van opstartscripts of het openen van gevoelige lokale mappen zonder handmatige goedkeuring.