Se você usa Claude ou Gemini, esta violação da Microsoft coloca seus dados em risco

Um ataque altamente sofisticado à cadeia de suprimentos conhecido como o verme Miasma comprometeu com sucesso dezenas de repositórios da Microsoft no GitHub, implantando malware projetado especificamente para detonar dentro de assistentes de codificação AI como Claude Code, Gemini CLI, Cursor e VS Code.

Em 5 de junho de 2026, o GitHub foi forçado a desabilitar abruptamente 73 repositórios em quatro organizações da Microsoft — incluindo infraestrutura central do Azure — depois que um contribuidor malicioso injetou malware autorreplicante de roubo de credenciais.

Se você usa agentes de IA para navegar ou escrever código, aqui está o que você precisa saber sobre a violação e como proteger seu ambiente.

Como a armadilha é montada

Historicamente, os desenvolvedores se preocupavam com malware escondido em scripts de ciclo de vida durante a instalação de pacotes (como executar npm install). O verme Miasma introduz um novo paradigma perigoso: o payload é executado simplesmente ao abrir a pasta do projeto.

Os atacantes conseguiram isso armando os arquivos de configuração que os agentes de codificação AI usam para entender um projeto. Ao esconder comandos maliciosos dentro de hooks de configuração padrão, o malware engana o assistente de IA para executar o payload automaticamente.

Veja como ele ataca ferramentas específicas:

• Claude Code e Gemini CLI: Os atacantes plantaram arquivos maliciosos .claude/settings.json e .gemini/settings.json. Estes contêm um hook “SessionStart” que executa silenciosamente o malware no momento em que o agente de IA se conecta ao repositório.
• Cursor: Uma injeção de prompt em .cursor/rules/setup.mdc engana o Cursor AI fazendo-o acreditar que precisa executar o malware para “inicializar o ambiente do projeto.”
• VS Code: Um arquivo modificado .vscode/tasks.json executa automaticamente o payload assim que a pasta é aberta.

O que o malware rouba

O payload em si é um enorme arquivo JavaScript ofuscado de 4.6 MB (.github/setup.js) construído para um único propósito: roubo agressivo de credenciais.

Uma vez acionado pelo seu agente de IA ou IDE, o malware imediatamente procura por:

• Chaves na nuvem: Credenciais para AWS, Google Cloud Platform (GCP) e Microsoft Azure.
• Segredos do desenvolvedor: Segredos do GitHub Actions extraídos diretamente da memória do processo.
• Cofres de senhas locais: Dados desbloqueados de gerenciadores de senhas como 1Password e gopass.
• Configurações de infraestrutura: Senhas ocultas em arquivos .env, configurações do Docker e ambientes Kubernetes.

Como o payload rouba tokens OAuth legítimos e chaves na nuvem, os atacantes podem contornar os scanners de segurança tradicionais, permitindo que o verme se espalhe lateralmente através de redes empresariais e publique mais código malicioso sob identidades de desenvolvedores confiáveis.

Como se proteger

O ângulo do agente de IA exige uma mudança na forma como os desenvolvedores tratam o código de código aberto. Abrir um repositório não confiável ou comprometido dentro de um assistente de IA agora carrega o mesmo perfil de risco que executar um executável aleatório.

Se você clonou ou interagiu recentemente com repositórios da Microsoft ou Azure (particularmente em torno do framework durabletask) usando Claude Code, Gemini CLI ou Cursor, assuma que seu ambiente pode estar comprometido.

Passos de ação imediata

1. Verifique configurações suspeitas: Antes de abrir qualquer repositório externo em uma ferramenta de IA, inspecione a pasta raiz em busca de diretórios inesperados .claude, .gemini, .cursor ou .vscode. Procure por hooks “SessionStart” apontando para arquivos JavaScript ou shell desconhecidos.
2. Rotacione as credenciais: Se suspeitar de exposição, rotacione imediatamente seus tokens de acesso pessoal (PAT) do GitHub, chaves SSH, chaves de assinatura CI/CD e todas as credenciais ativas de provedores de nuvem.
3. Audite as permissões de IA: Certifique-se de que seus agentes de codificação AI estejam explicitamente restritos de executar scripts de inicialização automatizados ou acessar diretórios locais sensíveis sem aprovação manual.