技術的な説明
2026年6月5日、Miasma サプライチェーン worm(脅威クラスター TeamPCP に起因)は npm パッケージポイズニングから GitHub リポジトリへの直接浸透にピボットした。以前に侵害されたコントリビューター認証情報を利用して、攻撃者は Azure/durabletask へのコミットをプッシュし、4つの開発者ツール全体にわたって 4.6 MB の認証情報収集ペイロードを実行するように設計された5つの設定ファイルを追加した。ペイロードは以下を実行する:(1) Claude Code の .claude/settings.json SessionStart フック経由、(2) Gemini CLI の .gemini/settings.json 経由、(3) Cursor AI に「プロジェクトを初期化する」よう指示する .cursor/rules/setup.mdc プロンプト注入経由、(4) VS Code の .vscode/tasks.json folderOpen タスク経由。GitHub の自動化施行により、105秒のウィンドウ内で Azure、Azure-Samples、Microsoft、および MicrosoftDocs 組織全体で 73 個のリポジトリが無効化された。
攻撃経路
攻撃者はコントリビューターの GitHub 認証情報(5月19日の PyPI 攻撃で使用された同じアカウント)を侵害し、AI コーディングエージェント設定ファイルを信頼できるリポジトリに追加するコミットをプッシュする。開発者がリポジトリをクローンして AI コーディングツールで開くと、SessionStart フックまたはプロンプト注入がハーベスターペイロードの自動実行をトリガーする — リポジトリを開く以上のユーザーインタラクションは必要ない。この攻撃は、サプライチェーンマルウェアを「パッケージインストール時に実行」から「フォルダ開く時に実行」にシフトさせ、すべての従来のパッケージマネージャー中心の防御をバイパスする。
影響を受けるシステム
Claude Code(.claude/settings.json の SessionStart フック経由)、Gemini CLI(.gemini/settings.json 経由)、Cursor(.cursor/rules/*.mdc プロンプト注入経由)、VS Code(.vscode/tasks.json の folderOpen タスク経由)。ペイロードは AWS、Azure、GCP、Kubernetes、npm、GitHub PAT、HashiCorp Vault、および 90 以上の開発者ツール設定の認証情報を収集する。6月5日 16:00 UTC から GitHub の自動削除 16:02:35 UTC までの間に、AI コーディングエージェント内で影響を受けたリポジトリを開いた開発者は、すべての環境認証情報が侵害されたものとして扱うべきである。
緩和策
即時対応:影響を受けたリポジトリが AI コーディングエージェント内で開かれたワークステーション上のすべてのクラウドおよび開発者認証情報をローテーションする。クローンされたリポジトリ内の .claude/settings.json、.gemini/settings.json、.cursor/rules/、および .vscode/tasks.json ファイルを監査し、AI エージェント内で開く前に予期しない SessionStart フックまたは自動実行タスクがないか確認する。予防的措置:Claude Code、Cursor、および Gemini CLI を設定して、SessionStart またはプロジェクト設定フックを実行する前に明示的なユーザー確認を要求する。Git コミット署名ポリシーを実装し、コントリビューターアカウントからの署名なしコミットを監視する。AI コーディングエージェント設定ファイルをコードレビューで特権攻撃面として扱う。