Miasma蠕蟲通過GitHub倉庫攻擊AI編碼代理

一種名為Miasma的新型蠕蟲正在利用AI編碼代理的自動運行功能，通過GitHub倉庫進行傳播。安全研究團隊SafeDep於2026年6月5日披露了這一威脅，指出攻擊者通過修改開發工具配置文件，在開發者打開或使用受感染倉庫時執行惡意負載。

該蠕蟲的核心機制是將多個配置文件作為觸發器，指向同一個負載腳本.github/setup.js。例如，在Claude Code和Gemini CLI中，攻擊者利用SessionStart鈎子配置，在代理會話啓動時自動運行命令；在Cursor中，通過一個始終應用的規則（alwaysApply: true）引導AI代理執行惡意文件；在VS Code中，則配置了一個在文件夾打開時自動運行的任務。此外，package.json中的測試腳本也被篡改，使得任何運行測試的開發者或CI系統都會觸發感染。

負載腳本本身經過多層混淆，最終解碼為一個Bun腳本。該腳本會檢查主機是否已安裝Bun，如果沒有，則從GitHub官方鏡像下載一個固定版本。隨後，它會在一個隨機臨時文件中寫入惡意代碼並執行。這種設計避免了使用宿主機的Node.js環境，增加了檢測難度。

一旦執行，Miasma的負載會掃描多種雲服務憑證，包括AWS、Azure、GCP、Vault、Kubernetes、npm和GitHub secrets，並將竊取的數據發送到攻擊者創建的公共GitHub倉庫。更重要的是，它會利用竊取的GitHub令牌訪問其他倉庫，並自動提交相同的惡意配置文件，從而實現自我複製和傳播。

攻擊的初始目標是一組屬於用户icflorescu的5個倉庫，包括mantine-datatable（擁有1225顆星）等，所有惡意提交在49秒內完成，表明過程完全自動化。進一步調查發現，GitHub上已有超過113個倉庫受到類似感染，涉及個人項目、企業示例（如Azure-Samples/llm-fine-tuning）和開源項目（如metersphere/helm-chart）。

SafeDep團隊提醒開發者，克隆倉庫本身是安全的，但打開或使用AI編碼代理在受感染的項目中工作時會觸發負載。建議開發者檢查項目中的.claude/settings.json、.cursor/rules/、.vscode/tasks.json等文件，並警惕任何未知的自動運行腳本。同時，應定期輪換GitHub令牌，並限制其寫入權限。