技术说明
2026年6月5日,Miasma供应链蠕虫(归因于威胁集群TeamPCP)从npm包投毒转向直接GitHub仓库渗透。攻击者使用之前被破坏的贡献者凭证,向Azure/durabletask推送一个提交,该提交添加了五个配置文件,旨在在四个开发者工具中引爆4.6 MB的凭证收集有效负荷。该有效负荷通过以下方式执行:(1) 通过Claude Code的.claude/settings.json SessionStart钩子,(2) 通过Gemini CLI的.gemini/settings.json,(3) 通过.cursor/rules/setup.mdc提示注入指示Cursor AI"初始化项目",以及(4) 通过VS Code的.vscode/tasks.json folderOpen任务。GitHub的自动化执行在105秒的时间窗口内禁用了Azure、Azure-Samples、Microsoft和MicrosoftDocs组织中的73个仓库。
攻击途径
攻击者破坏了贡献者的GitHub凭证(与5月19日PyPI攻击中使用的同一账户),向受信任的仓库推送提交,添加AI编码代理配置文件。当任何开发者在AI编码工具中克隆并打开仓库时,SessionStart钩子或提示注入会触发收集器有效负荷的自动执行——除了打开仓库之外,不需要用户交互。该攻击将供应链恶意软件从"在包安装时执行"转变为"在文件夹打开时执行",绕过了所有传统的以包管理器为重点的防御。
受影响系统
Claude Code(通过.claude/settings.json中的SessionStart钩子)、Gemini CLI(通过.gemini/settings.json)、Cursor(通过.cursor/rules/*.mdc提示注入)、VS Code(通过.vscode/tasks.json中的folderOpen任务)。有效负荷收集AWS、Azure、GCP、Kubernetes、npm、GitHub PAT、HashiCorp Vault和90多个开发者工具配置的凭证。任何在2026年6月5日16:00 UTC至GitHub自动删除时间16:02:35 UTC之间在AI编码代理中打开受影响仓库的开发者应将所有环境凭证视为已泄露。
缓解措施
立即行动:在打开受影响仓库的AI编码代理的任何工作站上轮换所有云和开发者凭证。在AI代理中打开前,审计克隆的仓库中的.claude/settings.json、.gemini/settings.json、.cursor/rules/和.vscode/tasks.json文件,查找意外的SessionStart钩子或自动执行任务。预防措施:配置Claude Code、Cursor和Gemini CLI在执行任何SessionStart或项目设置钩子之前需要显式用户确认。实施Git提交签名政策,监控来自贡献者账户的未签名提交。在代码审查中将AI编码代理配置文件视为特权攻击面。