Если вы используете Claude или Gemini, эта утечка Microsoft означает, что ваши данные в опасности

Высокоизощрённая атака на цепочку поставок, известная как червь Miasma, успешно скомпрометировала десятки репозиториев Microsoft на GitHub, развернув вредоносное ПО, специально предназначенное для срабатывания внутри AI-ассистентов кодирования, таких как Claude Code, Gemini CLI, Cursor и VS Code.

5 июня 2026 года GitHub был вынужден внезапно отключить 73 репозитория в четырёх организациях Microsoft, включая ключевую инфраструктуру Azure, после того как злоумышленник внедрил самореплицирующееся вредоносное ПО для сбора учётных данных.

Если вы используете AI-агентов для навигации или написания кода, вот что вам нужно знать об этой утечке и как обезопасить свою среду.

Как расставляется ловушка

Исторически разработчики беспокоились о вредоносном ПО, скрытом в скриптах жизненного цикла при установке пакетов (например, при запуске npm install). Червь Miasma вводит опасную новую парадигму: полезная нагрузка выполняется просто при открытии папки проекта.

Злоумышленники достигли этого, вооружив конфигурационные файлы, которые AI-агенты кодирования используют для понимания проекта. Скрывая вредоносные команды внутри стандартных хуков настройки, вредоносное ПО обманывает AI-ассистента, заставляя его автоматически запускать полезную нагрузку.

Вот как он нацеливается на конкретные инструменты:

• Claude Code и Gemini CLI: Злоумышленники разместили вредоносные файлы .claude/settings.json и .gemini/settings.json. Они содержат хук “SessionStart”, который незаметно выполняет вредоносное ПО в тот момент, когда AI-агент подключается к репозиторию.
• Cursor: Инъекция промпта в .cursor/rules/setup.mdc заставляет Cursor AI поверить, что он должен запустить вредоносное ПО для “инициализации среды проекта.”
• VS Code: Изменённый файл .vscode/tasks.json автоматически запускает полезную нагрузку, как только папка открыта.

Что крадёт вредоносное ПО

Сама полезная нагрузка представляет собой массивный обфусцированный JavaScript-файл размером 4.6 МБ (.github/setup.js), созданный для одной цели: агрессивная кража учётных данных.

После активации вашим AI-агентом или IDE вредоносное ПО немедленно ищет:

• Облачные ключи: Учётные данные для AWS, Google Cloud Platform (GCP) и Microsoft Azure.
• Секреты разработчика: Секреты GitHub Actions, извлечённые напрямую из памяти процесса.
• Локальные хранилища паролей: Разблокированные данные из менеджеров паролей, таких как 1Password и gopass.
• Конфигурации инфраструктуры: Пароли, скрытые в файлах .env, конфигурациях Docker и средах Kubernetes.

Поскольку полезная нагрузка крадёт легитимные OAuth-токены и облачные ключи, злоумышленники могут обходить традиционные сканеры безопасности, позволяя червю распространяться латерально по корпоративным сетям и публиковать дополнительный вредоносный код под доверенными идентификаторами разработчиков.

Как защитить себя

Угол AI-агента требует сдвига в том, как разработчики относятся к коду с открытым исходным кодом. Открытие ненадёжного или скомпрометированного репозитория внутри AI-ассистента теперь несёт точно такой же профиль риска, как запуск случайного исполняемого файла.

Если вы недавно клонировали или взаимодействовали с репозиториями Microsoft или Azure (особенно в рамках фреймворка durabletask) с использованием Claude Code, Gemini CLI или Cursor, предположите, что ваша среда может быть скомпрометирована.

Немедленные действия

1. Проверьте подозрительные конфиги: Перед открытием любого внешнего репозитория в AI-инструменте проверьте корневую папку на наличие неожиданных каталогов .claude, .gemini, .cursor или .vscode. Ищите хуки “SessionStart”, указывающие на неизвестные JavaScript-или shell-файлы.
2. Смените учётные данные: Если вы подозреваете раскрытие, немедленно смените ваши GitHub Personal Access Tokens (PAT), SSH-ключи, ключи подписи CI/CD и все активные учётные данные облачных провайдеров.
3. Проверьте разрешения AI: Убедитесь, что ваши AI-агенты кодирования явно ограничены в запуске автоматических стартовых скриптов или доступе к чувствительным локальным каталогам без ручного одобрения.