如果您使用Claude或Gemini,此次微软泄露事件意味着您的数据面临风险
一种被称为Miasma蠕虫的高度复杂的供应链攻击已成功入侵了数十个微软拥有的GitHub仓库,部署了专门设计用于在Claude Code、Gemini CLI、Cursor和VS Code等AI编码助手中引爆的恶意软件。
一种被称为Miasma蠕虫的高度复杂的供应链攻击已成功入侵了数十个微软拥有的GitHub仓库,部署了专门设计用于在Claude Code、Gemini CLI、Cursor和VS Code等AI编码助手中引爆的恶意软件。
2026年6月5日,GitHub被迫突然禁用四个微软组织中的73个仓库——包括Azure的核心基础设施——因为一名恶意贡献者注入了自我复制的凭据窃取恶意软件。
如果您使用AI代理来导航或编写代码,以下是您需要了解的关于此次泄露事件以及如何保护您的环境的信息。
陷阱是如何设置的
从历史上看,开发人员担心在软件包安装期间隐藏在生命周期脚本中的恶意软件(例如运行npm install)。Miasma蠕虫引入了一种危险的新范式:只需打开项目文件夹即可执行有效负载。
攻击者通过将AI编码代理用于理解项目的配置文件武器化来实现这一点。通过将恶意命令隐藏到标准设置钩子中,恶意软件诱骗AI助手自动运行有效负载。
以下是它针对特定工具的方式:
- Claude Code和Gemini CLI: 攻击者植入了恶意的
.claude/settings.json和.gemini/settings.json文件。这些文件包含一个”SessionStart”钩子,可在AI代理连接到仓库的那一刻静默执行恶意软件。 - Cursor: 在
.cursor/rules/setup.mdc中的提示注入会诱骗Cursor AI认为它必须运行恶意软件才能”初始化项目环境”。 - VS Code: 修改后的
.vscode/tasks.json文件会在文件夹打开时自动运行有效负载。
恶意软件窃取的内容
有效负载本身是一个巨大的4.6 MB混淆JavaScript文件(.github/setup.js),专为一个目的而构建:激进的凭据窃取。
一旦被您的AI代理或IDE触发,恶意软件会立即搜索:
- 云密钥: AWS、Google Cloud Platform(GCP)和Microsoft Azure的凭据。
- 开发者机密: 直接从进程内存中提取的GitHub Actions机密。
- 本地密码库: 从1Password和gopass等密码管理器解锁的数据。
- 基础架构配置: 隐藏在
.env文件、Docker配置和Kubernetes环境中的密码。
由于有效负载会窃取合法的OAuth令牌和云密钥,攻击者可以绕过传统的安全扫描器,使蠕虫能够通过企业网络横向传播,并在受信任的开发者身份下发布更多恶意代码。
如何保护自己
AI代理的角度要求开发人员改变对待开源代码的方式。在AI助手中打开不受信任或已被入侵的仓库现在与运行随机可执行文件具有完全相同的风险特征。
如果您最近使用Claude Code、Gemini CLI或Cursor克隆或与Microsoft或Azure仓库(特别是涉及durabletask框架的仓库)进行交互,请假设您的环境可能已被入侵。
立即采取的行动步骤
- 检查可疑配置: 在AI工具中打开任何外部仓库之前,请检查根文件夹中是否有意外的
.claude、.gemini、.cursor或.vscode目录。查找指向未知JavaScript或shell文件的”SessionStart”钩子。 - 轮换凭据: 如果您怀疑已暴露,请立即轮换您的GitHub个人访问令牌(PAT)、SSH密钥、CI/CD签名密钥以及所有活跃的云提供商凭据。
- 审计AI权限: 确保您的AI编码代理被明确限制,未经手动批准不得运行自动启动脚本或访问敏感的本地目录。
