Ikiwa Unatumia Claude au Gemini, Uvunjaji Huu wa Microsoft Unamaanisha Data Yako Iko Hatarini

Shambulio la hali ya juu la ugavi linalojulikana kama Miasma worm limefanikiwa kuvunja hazina nyingi za GitHub za Microsoft, likituma programu hasidi iliyoundwa mahususi kulipuka ndani ya wasaidizi wa usimbaji wa AI kama vile Claude Code, Gemini CLI, Cursor, na VS Code.

Mnamo Juni 5, 2026, GitHub ililazimishwa kuzima ghafla hazina 73 katika mashirika manne ya Microsoft—ikijumuisha miundombinu muhimu ya Azure—baada ya mchangiaji hasidi kuingiza programu hasidi inayojirudia inayovuna vitambulisho.

Ikiwa unatumia mawakala wa AI kuvinjari au kuandika msimbo, hiki ndicho unachohitaji kujua kuhusu uvunjaji huu na jinsi ya kulinda mazingira yako.

Mtego Unavyoungwa

Kihistoria, wasanidi programu walikuwa na wasiwasi kuhusu programu hasidi iliyojificha kwenye maandishi ya mzunguko wa maisha wakati wa usakinishaji wa kifurushi (kama kuendesha npm install). Miasma worm inaleta dhana mpya hatari: programu hasidi inatekelezwa kwa kufungua tu folda ya mradi.

Washambuliaji walifikia hili kwa kugeuza faili za usanidi ambazo mawakala wa usimbaji wa AI hutumia kuelewa mradi. Kwa kuficha amri hasidi ndani ya vikolezo vya kawaida vya usanidi, programu hasidi humdanganya msaidizi wa AI kutekeleza programu hasidi kiotomatiki.

Hivi ndivyo inavyolenga zana maalum:

• Claude Code na Gemini CLI: Washambuliaji walipanda faili hasidi za .claude/settings.json na .gemini/settings.json. Hizi zina kitanzi cha “SessionStart” kinachotekeleza programu hasidi kimya kimya wakati wakala wa AI anaunganisha kwenye hazina.
• Cursor: Kidokezo cha sindano katika .cursor/rules/setup.mdc kinamdanganya Cursor AI kuamini kwamba lazima iendeshe programu hasidi ili “kuanzisha mazingira ya mradi.”
• VS Code: Faili iliyorekebishwa ya .vscode/tasks.json inaendesha programu hasidi kiotomatiki mara tu folda inapofunguliwa.

Programu Hasidi Inaiba Nini

Programu hasidi yenyewe ni faili kubwa ya JavaScript ya 4.6 MB iliyofichwa (.github/setup.js) iliyojengwa kwa kusudi moja: wizi mkali wa vitambulisho.

Mara tu inapoamshwa na wakala wako wa AI au IDE, programu hasidi huanza kutafuta mara moja:

• Funguo za Wingu: Vitambulisho vya AWS, Google Cloud Platform (GCP), na Microsoft Azure.
• Siri za Wasanidi: Siri za GitHub Actions zinazotolewa moja kwa moja kutoka kwenye kumbukumbu ya mchakato.
• Vyumba vya Nywila za Ndani: Data iliyofunguliwa kutoka kwa wasimamizi wa nywila kama 1Password na gopass.
• Usanidi wa Miundombinu: Nywila zilizofichwa kwenye faili za .env, usanidi wa Docker, na mazingira ya Kubernetes.

Kwa sababu programu hasidi inaiba vishindo halali vya OAuth na funguo za wingu, washambuliaji wanaweza kukwepa vichunguzi vya kawaida vya usalama, kuruhusu mdudu kuenea kwa upande kupitia mitandao ya biashara na kuchapisha msimbo hasidi zaidi chini ya vitambulisho vya wasanidi wanaoaminika.

Jinsi ya Kujilinda

Mtazamo wa wakala wa AI unahitaji mabadiliko katika jinsi wasanidi wanavyoshughulikia msimbo wazi. Kufungua hazina isiyoaminika au iliyoathiriwa ndani ya msaidizi wa AI sasa ina hadhi sawa ya hatari na kuendesha faili inayotekelezeka kwa bahati nasibu.

Ikiwa hivi karibuni ulinakili au kuingiliana na hazina za Microsoft au Azure (hasa karibu na mfumo wa durabletask) kwa kutumia Claude Code, Gemini CLI, au Cursor, dhania mazingira yako yanaweza kuwa yameathiriwa.

Hatua za Haraka za Kuchukua

1. Angalia Usanidi wa Tuhuma: Kabla ya kufungua hazina yoyote ya nje katika zana ya AI, kagua folda kuu kwa ajili ya saraka zisizotarajiwa za .claude, .gemini, .cursor, au .vscode. Tafuta vitanzi vya “SessionStart” vinavyoelekeza kwenye faili zisizojulikana za JavaScript au shell.
2. Zungusha Vitambulisho: Ikiwa unashuku kufichuliwa, zungusha mara moja Vielekezi vya Ufikiaji vya Kibinafsi vya GitHub (PAT), funguo za SSH, funguo za kusaini CI/CD, na vitambulisho vyote vilivyo hai vya mtoa huduma za wingu.
3. Kagua Ruhusa za AI: Hakikisha kwamba mawakala wako wa usimbaji wa AI wamezuiwa waziwazi kuendesha maandishi ya kuanza kiotomatiki au kufikia saraka nyeti za ndani bila idhini ya mikono.