Worm Miasma Meningkat ke Pembajakan AI Coding Agent — 73 Repo GitHub Microsoft Dinonaktifkan Setelah Injeksi Payload SessionStart Hook

Pada 5 Juni 2026, worm supply chain Miasma (yang dikaitkan dengan cluster ancaman TeamPCP) berubah dari poisoning paket npm ke infiltrasi repositori GitHub langsung. Menggunakan kredensial kontributor yang sebelumnya dikompromikan, penyerang mendorong commit ke Azure/durabletask yang menambahkan lima file konfigurasi dirancang untuk mendetonasi payload pemanenan kredensial 4,6 MB di seluruh empat alat pengembang. Payload melaksanakan: (1) melalui SessionStart hook .claude/settings.json untuk Claude Code, (2) melalui .gemini/settings.json untuk Gemini CLI, (3) melalui injeksi prompt .cursor/rules/setup.mdc yang menginstruksikan Cursor AI untuk 'menginisialisasi proyek', dan (4) melalui tugas folderOpen .vscode/tasks.json untuk VS Code. Penegakan otomatis GitHub menonaktifkan 73 repositori di organisasi Azure, Azure-Samples, Microsoft, dan MicrosoftDocs dalam jendela 105 detik.

Penyerang mengompromikan kredensial GitHub kontributor (akun yang sama digunakan dalam serangan PyPI 19 Mei), mendorong commit yang menambahkan file konfigurasi AI coding agent ke repositori terpercaya. Ketika pengembang mana pun mengkloning dan membuka repo di alat AI coding, hook SessionStart atau injeksi prompt memicu eksekusi otomatis payload pemanenan — tidak ada interaksi pengguna di luar membuka repo yang diperlukan. Serangan menggeser malware supply chain dari 'eksekusi saat instalasi paket' ke 'eksekusi saat membuka folder', memotong semua pertahanan yang berfokus pada pengelola paket konvensional.

Claude Code (melalui SessionStart hooks di .claude/settings.json), Gemini CLI (melalui .gemini/settings.json), Cursor (melalui injeksi prompt .cursor/rules/*.mdc), VS Code (melalui tugas folderOpen di .vscode/tasks.json). Payload memanen kredensial untuk AWS, Azure, GCP, Kubernetes, npm, GitHub PATs, HashiCorp Vault, dan konfigurasi 90+ alat pengembang. Setiap pengembang yang membuka repositori yang terpengaruh di AI coding agent antara 5 Juni 16:00 UTC dan takedown otomatis GitHub pada 16:02:35 UTC harus menganggap semua kredensial lingkungan sebagai dikompromikan.

Segera: putar semua kredensial cloud dan pengembang di stasiun kerja mana pun tempat repo yang terpengaruh dibuka di AI coding agent. Audit file .claude/settings.json, .gemini/settings.json, .cursor/rules/, dan .vscode/tasks.json di repositori yang dikloning untuk SessionStart hooks atau tugas eksekusi-otomatis yang tidak terduga sebelum membuka di AI agent. Preventif: konfigurasi Claude Code, Cursor, dan Gemini CLI untuk memerlukan konfirmasi pengguna eksplisit sebelum menjalankan hook SessionStart atau project-setup apa pun. Terapkan kebijakan penandatanganan commit Git dan pantau commit yang tidak ditandatangani dari akun kontributor. Perlakukan file konfigurasi AI coding agent sebagai permukaan serangan istimewa dalam tinjauan kode.