技術的な説明
2026年6月5日、Miasma サプライチェーン ワーム(脅威グループ TeamPCP に帰属)は npm パッケージ汚染から GitHub リポジトリへの直接侵入へとピボットした。以前に侵害されたコントリビューターの認証情報を使用して、攻撃者は Azure/durabletask へのコミットをプッシュし、4つの開発者ツール全体で 4.6 MB の認証情報収集ペイロードを展開するように設計された5つの設定ファイルを追加した。ペイロードは以下を実行する:(1) Claude Code 用の .claude/settings.json SessionStart フック経由、(2) Gemini CLI 用の .gemini/settings.json 経由、(3) Cursor AI に「プロジェクトを初期化する」よう指示するプロンプトインジェクション .cursor/rules/setup.mdc 経由、(4) VS Code 用の .vscode/tasks.json folderOpen タスク経由。GitHub の自動化された強制により、105秒の時間枠内で Azure、Azure-Samples、Microsoft、および MicrosoftDocs 組織全体にわたる 73 個のリポジトリが無効化された。
攻撃経路
攻撃者がコントリビューターの GitHub 認証情報を侵害し(5月19日の PyPI 攻撃で使用された同じアカウント)、AI コーディングエージェント設定ファイルを信頼されたリポジトリに追加するコミットをプッシュする。開発者がリポジトリをクローンして AI コーディングツールで開くと、SessionStart フックまたはプロンプトインジェクションがハーベスターペイロードの自動実行をトリガーする — リポジトリを開く以上のユーザーインタラクションは必要ない。この攻撃はサプライチェーンマルウェアを「パッケージ インストール時に実行」から「フォルダ オープン時に実行」へとシフトさせ、すべての従来のパッケージマネージャー中心の防御をバイパスする。
影響を受けるシステム
Claude Code(.claude/settings.json の SessionStart フック経由)、Gemini CLI(.gemini/settings.json 経由)、Cursor(.cursor/rules/*.mdc プロンプトインジェクション経由)、VS Code(.vscode/tasks.json の folderOpen タスク経由)。ペイロードは AWS、Azure、GCP、Kubernetes、npm、GitHub PAT、HashiCorp Vault、および 90以上の開発者ツール設定の認証情報を収集する。6月5日 16:00 UTC から GitHub の自動テイクダウン 16:02:35 UTC までの間に AI コーディングエージェントで影響を受けたリポジトリを開いた開発者は、すべての環境認証情報が侵害されたと見なすべきである。
緩和策
即時:影響を受けたリポジトリが AI コーディングエージェントで開かれたワークステーション上の、すべてのクラウドおよび開発者認証情報をローテーションする。クローンされたリポジトリ内の .claude/settings.json、.gemini/settings.json、.cursor/rules/、および .vscode/tasks.json ファイルについて、AI エージェントで開く前に予期しない SessionStart フックまたは自動実行タスクをチェックする。予防的:Claude Code、Cursor、および Gemini CLI を構成して、SessionStart またはプロジェクト設定フックを実行する前に明示的なユーザー確認を必須にする。Git コミット署名ポリシーを実装し、コントリビューターアカウントからの署名されていないコミットを監視する。AI コーディングエージェント設定ファイルをコードレビューの特権付き攻撃サーフェスとして扱う。