Worm Miasma Meningkat ke Peretasan AI Coding Agent — 73 Repositori GitHub Microsoft Dinonaktifkan Setelah Injeksi Payload SessionStart Hook

Pada 5 Juni 2026, worm supply chain Miasma (dikaitkan dengan threat cluster TeamPCP) beralih dari keracunan paket npm ke infiltrasi repositori GitHub langsung. Menggunakan kredensial kontributor yang sebelumnya dikompromikan, penyerang mendorong komit ke Azure/durabletask yang menambahkan lima file konfigurasi yang dirancang untuk mendetonasi payload pemanenan kredensial 4,6 MB di seluruh empat alat pengembang. Payload mengeksekusi: (1) melalui hook SessionStart .claude/settings.json untuk Claude Code, (2) melalui .gemini/settings.json untuk Gemini CLI, (3) melalui injeksi prompt .cursor/rules/setup.mdc yang menginstruksikan Cursor AI untuk 'menginisialisasi proyek', dan (4) melalui tugas folderOpen .vscode/tasks.json untuk VS Code. Penegakan otomatis GitHub menonaktifkan 73 repositori di seluruh organisasi Azure, Azure-Samples, Microsoft, dan MicrosoftDocs dalam jendela 105 detik.

Penyerang mengompromikan kredensial GitHub kontributor (akun yang sama digunakan dalam serangan PyPI 19 Mei), mendorong komit yang menambahkan file konfigurasi AI coding agent ke repositori terpercaya. Ketika pengembang mana pun mengkloning dan membuka repo di alat AI coding, hook SessionStart atau injeksi prompt memicu eksekusi otomatis dari payload harvester — tidak ada interaksi pengguna di luar membuka repo yang diperlukan. Serangan mengalihkan malware supply chain dari 'eksekusi pada instalasi paket' menjadi 'eksekusi pada pembukaan folder', mengatasi semua pertahanan yang berfokus pada package manager konvensional.

Claude Code (melalui SessionStart hooks di .claude/settings.json), Gemini CLI (melalui .gemini/settings.json), Cursor (melalui injeksi prompt .cursor/rules/*.mdc), VS Code (melalui tugas folderOpen di .vscode/tasks.json). Payload memanen kredensial untuk AWS, Azure, GCP, Kubernetes, npm, GitHub PATs, HashiCorp Vault, dan 90+ konfigurasi alat pengembang. Setiap pengembang yang membuka repositori yang terpengaruh dalam AI coding agent antara 5 Juni 16:00 UTC dan takedown otomatis GitHub pada 16:02:35 UTC harus menganggap semua kredensial lingkungan sebagai dikompromikan.

Segera: rotasi semua kredensial cloud dan pengembang di stasiun kerja mana pun di mana repo yang terpengaruh dibuka di AI coding agent. Audit file .claude/settings.json, .gemini/settings.json, .cursor/rules/, dan .vscode/tasks.json di repositori yang dikloning untuk SessionStart hooks atau tugas eksekusi otomatis yang tidak terduga sebelum membuka di AI agent. Preventif: konfigurasikan Claude Code, Cursor, dan Gemini CLI untuk memerlukan konfirmasi pengguna eksplisit sebelum mengeksekusi hook SessionStart atau project-setup apa pun. Implementasikan kebijakan penandatanganan komit Git dan pantau komit yang tidak ditandatangani dari akun kontributor. Perlakukan file konfigurasi AI coding agent sebagai permukaan serangan yang istimewa dalam code review.