MiasmaワームがGitHubリポジトリ経由でAIコーディングエージェントを標的に

Miasmaと呼ばれる新しいワームが、AIコーディングエージェントの自動実行機能を悪用してGitHubリポジトリ経由で拡散していることが、セキュリティ研究チームSafeDepによって2026年6月5日に報告されました。このワームは、開発ツールの設定ファイルを改ざんすることで、開発者が感染したリポジトリを開いたり、AIエージェントを使用したりすると自動的に悪意のあるペイロードを実行させます。

ワームの核となるメカニズムは、複数の設定ファイルをトリガーとして使い、共通のペイロードスクリプト.github/setup.jsを指し示すことです。たとえば、Claude CodeとGemini CLIではSessionStartフックを利用して、エージェントセッションがプロジェクトで開始されるとコマンドを実行します。Cursorでは常に適用されるルール（alwaysApply: true）を用いてAIエージェントにファイルの実行を指示します。VS Codeではフォルダを開いたときに自動実行されるタスクを設定します。さらにpackage.jsonのテストスクリプトも改ざんされ、テストを実行する開発者やCIシステムが感染を引き起こします。

ペイロードスクリプトは複数層の難読化を経て、最終的にBunスクリプトとしてデコードされます。このスクリプトは、ホストにBunがインストールされているか確認し、なければGitHubの公式ミラーから固定バージョンをダウンロードします。その後、一時ファイルに悪意のあるコードを書き込んで実行します。Bunを使用することで、ホストのNode.js環境を避け、検出を困難にしています。

実行されると、MiasmaのペイロードはAWS、Azure、GCP、Vault、Kubernetes、npm、GitHubシークレットなど、さまざまなクラウド認証情報をスキャンし、攻撃者が管理する公開GitHubリポジトリにデータを送信します。さらに、盗んだGitHubトークンを使って他のリポジトリにアクセスし、同じ悪意のある設定ファイルを自動的にコミットして自己複製を行います。

攻撃の最初の標的はicflorescuユーザーが所有する5つのリポジトリで、mantine-datatable（1225スター）などが含まれます。すべての悪意あるコミットは49秒以内に行われ、完全に自動化されていたことを示しています。さらに調査を進めたところ、GitHub上で113以上のリポジトリが同様の侵害を受けており、個人プロジェクトや企業のサンプル（Azure-Samples/llm-fine-tuning）、オープンソースプロジェクト（metersphere/helm-chart）などが含まれていました。

SafeDepチームは、リポジトリのクローン自体は安全だが、感染したプロジェクトを開いたり、AIコーディングエージェントを使用したりするとペイロードが実行される可能性があると警告しています。開発者はプロジェクト内の.claude/settings.json、.cursor/rules/、.vscode/tasks.jsonなどのファイルを確認し、未知の自動実行スクリプトに注意するよう推奨しています。また、GitHubトークンを定期的に更新し、書き込み権限を制限することも重要です。