Nếu Bạn Sử Dụng Claude hoặc Gemini, Vụ Vi Phạm Microsoft Này Đồng Nghĩa Với Việc Dữ Liệu Của Bạn Đang Gặp Rủi Ro

Một cuộc tấn công chuỗi cung ứng cực kỳ tinh vi được gọi là sâu Miasma đã xâm nhập thành công hàng chục kho lưu trữ GitHub thuộc sở hữu của Microsoft, triển khai phần mềm độc hại được thiết kế đặc biệt để kích hoạt bên trong các trợ lý mã hóa AI như Claude Code, Gemini CLI, Cursor và VS Code.

Vào ngày 5 tháng 6 năm 2026, GitHub buộc phải vô hiệu hóa đột ngột 73 kho lưu trữ trên bốn tổ chức của Microsoft—bao gồm cơ sở hạ tầng cốt lõi cho Azure—sau khi một người đóng góp độc hại đã tiêm phần mềm độc hại tự sao chép thu thập thông tin xác thực.

Nếu bạn sử dụng tác nhân AI để điều hướng hoặc viết mã, đây là những gì bạn cần biết về vụ vi phạm và cách bảo mật môi trường của bạn.

Cái Bẫy Được Giăng Ra Như Thế Nào

Trong lịch sử, các nhà phát triển lo lắng về phần mềm độc hại ẩn trong các tập lệnh vòng đời trong quá trình cài đặt gói (như chạy npm install). Sâu Miasma giới thiệu một mô hình nguy hiểm mới: tải trọng được thực thi chỉ bằng cách mở thư mục dự án.

Những kẻ tấn công đạt được điều này bằng cách vũ khí hóa các tệp cấu hình mà các tác nhân mã hóa AI sử dụng để hiểu một dự án. Bằng cách ẩn các lệnh độc hại bên trong các hook thiết lập tiêu chuẩn, phần mềm độc hại lừa trợ lý AI tự động chạy tải trọng.

Đây là cách nó nhắm mục tiêu vào các công cụ cụ thể:

• Claude Code và Gemini CLI: Những kẻ tấn công đã cài các tệp .claude/settings.json và .gemini/settings.json độc hại. Các tệp này chứa một hook “SessionStart” âm thầm thực thi phần mềm độc hại ngay khi tác nhân AI kết nối với kho lưu trữ.
• Cursor: Một tiêm kích thích trong .cursor/rules/setup.mdc lừa Cursor AI tin rằng nó phải chạy phần mềm độc hại để “khởi tạo môi trường dự án.”
• VS Code: Một tệp .vscode/tasks.json đã sửa đổi tự động chạy tải trọng ngay khi thư mục được mở.

Phần Mềm Độc Hại Đánh Cắp Những Gì

Tải trọng tự nó là một tệp JavaScript bị xáo trộn khổng lồ 4.6 MB (.github/setup.js) được xây dựng cho một mục đích: đánh cắp thông tin xác thực mạnh mẽ.

Khi được kích hoạt bởi tác nhân AI hoặc IDE của bạn, phần mềm độc hại ngay lập tức tìm kiếm:

• Khóa Đám mây: Thông tin xác thực cho AWS, Google Cloud Platform (GCP) và Microsoft Azure.
• Bí mật Nhà phát triển: Bí mật GitHub Actions được lấy trực tiếp từ bộ nhớ tiến trình.
• Kho Mật khẩu Cục bộ: Dữ liệu đã mở khóa từ các trình quản lý mật khẩu như 1Password và gopass.
• Cấu hình Cơ sở hạ tầng: Mật khẩu ẩn trong các tệp .env, cấu hình Docker và môi trường Kubernetes.

Bởi vì tải trọng đánh cắp các mã thông báo OAuth hợp pháp và khóa đám mây, những kẻ tấn công có thể vượt qua các máy quét bảo mật truyền thống, cho phép sâu lây lan theo chiều ngang qua các mạng doanh nghiệp và xuất bản thêm mã độc dưới danh tính nhà phát triển đáng tin cậy.

Cách Tự Bảo Vệ

Góc nhìn tác nhân AI đòi hỏi sự thay đổi trong cách các nhà phát triển xử lý mã nguồn mở. Việc mở một kho lưu trữ không đáng tin cậy hoặc đã bị xâm phạm bên trong trợ lý AI giờ đây mang cùng mức độ rủi ro như chạy một tệp thực thi ngẫu nhiên.

Nếu gần đây bạn đã sao chép hoặc tương tác với các kho lưu trữ Microsoft hoặc Azure (đặc biệt là xung quanh khung durabletask) bằng Claude Code, Gemini CLI hoặc Cursor, hãy cho rằng môi trường của bạn có thể đã bị xâm phạm.

Các Bước Hành Động Ngay Lập Tức

1. Kiểm tra Cấu hình Đáng ngờ: Trước khi mở bất kỳ kho lưu trữ bên ngoài nào trong công cụ AI, hãy kiểm tra thư mục gốc để tìm các thư mục .claude, .gemini, .cursor hoặc .vscode bất ngờ. Tìm các hook “SessionStart” trỏ đến các tệp JavaScript hoặc shell không xác định.
2. Xoay Vòng Thông tin Xác thực: Nếu bạn nghi ngờ bị lộ, ngay lập tức xoay vòng Mã thông báo Truy cập Cá nhân GitHub (PAT), khóa SSH, khóa ký CI/CD và tất cả thông tin xác thực nhà cung cấp đám mây đang hoạt động.
3. Kiểm toán Quyền AI: Đảm bảo rằng các tác nhân mã hóa AI của bạn bị hạn chế rõ ràng khỏi việc chạy các tập lệnh khởi động tự động hoặc truy cập các thư mục cục bộ nhạy cảm mà không có sự chấp thuận thủ công.