Apa yang terjadi
Pada 2026-06-05, worm Miasma mencapai organisasi Microsoft's GitHub melalui commit jahat ke Azure/durabletask menggunakan akun kontributor yang sebelumnya dikompromikan. Kampanye menanam file konfigurasi langsung ke 113+ repository di seluruh puluhan organisasi. Berbeda dengan serangan supply-chain tradisional yang mengandalkan paket NPM jahat atau hook post-install, Miasma melewati pemindaian dependensi dengan menggunakan file konfigurasi editor tepercaya yang diatur untuk auto-run saat proyek dibuka.
Mengapa penting
Agen coding AI (Claude Code, Cursor, Gemini CLI) secara otomatis menjalankan file konfigurasi dan hook saat membuka workspace. Worm Miasma memanfaatkan perilaku auto-execution ini untuk mencuri kredensial untuk AWS, Azure, GCP, Kubernetes, dan 90+ alat developer dan deployment lainnya. Penyerang mendapatkan akses ke seluruh infrastruktur cloud, pipeline CI/CD, dan repository sumber organisasi yang terkena dampak.
Vektor serangan
Aktor ancaman mengompromikan akun kontributor GitHub dan mendorong file konfigurasi jahat (`.claude/`, `.cursor/`, `.gemini/`) langsung ke 113+ repository. Ketika developer membuka repo yang dikompromikan dalam agen coding AI, agen secara otomatis menjalankan perintah hook yang ditentukan dalam file ini. Hook menjalankan payload JavaScript obfuscated 4.6 MB yang mengeksfiltrasi kredensial untuk AWS, Azure, Google Cloud, Kubernetes, dan 90+ alat developer.
Sistem yang terdampak
Agen coding AI: Claude Code, Gemini CLI, Cursor; repository yang dihosting GitHub
Mitigasi
Audit sesi agen coding AI terbuka; periksa file konfigurasi `.claude/`, `.cursor/`, `.gemini/` yang mencurigakan; putar kredensial untuk AWS, Azure, GCP, dan layanan lainnya; aktifkan aturan perlindungan branch di GitHub