cyberivy
AI SecuritySupply ChainMiasmaCoding AgentsGitHubDeveloper ToolsCredential Theft

Miasma macht Agenten-Konfigs zur Supply-Chain-Waffe

7. Juni 2026

A programmer sits at a desk using a laptop with code visible on an external monitor.

Der Miasma-Angriff zeigt, dass `.claude`, `.cursor`, `.gemini` und Editor-Dateien keine Nebensache mehr sind. Wenn Agenten Hooks ausfuehren, wird Repo-Konfiguration zur Angriffsfläche.

Worum es geht

Die Sicherheitsfirma StepSecurity berichtete am 5. Juni 2026, dass die Miasma-Kampagne Microsoft-nahe GitHub-Repositories erreicht habe. Laut Analyse deaktivierte GitHub 73 Repositories ueber mehrere Microsoft-Organisationen hinweg, nachdem ein kompromittierter Account einen manipulierten Commit in ein Azure-Repository geschrieben hatte.

Der neue Punkt ist die Angriffsoberflaeche: Die Malware zielte nicht nur auf Paketinstallationen, sondern auf Konfigurationen, die von AI-Coding-Tools und Editoren beim Oeffnen eines Repositories gelesen werden.

Was Miasma tatsaechlich macht

Der beschriebene Commit aenderte laut StepSecurity keinen normalen Quellcode, sondern fuegte Konfigurations- und Payload-Dateien hinzu. Betroffen waren unter anderem Hooks oder Regeln fuer Claude Code, Gemini CLI, Cursor, VS Code und ein npm-Testskript. Das Ziel: automatische Ausfuehrung oder Prompt-/Workflow-Manipulation, sobald Entwickler mit dem Repository arbeiten.

The Next Web berichtete am 6. Juni, dass das Muster auf eine selbstverbreitende Supply-Chain-Kampagne zeigt, die Zugangsdaten fuer Cloud- und Entwicklerplattformen abgreift und sich mit gestohlenen Rechten weiterbewegen kann.

Warum das wichtig ist

Viele Teams behandeln Editor- und Agenten-Konfigurationen als Nebengeraeusch. Genau das wird gefaehrlich, wenn Coding-Agenten mehr Rechte bekommen: Sie lesen Repository-Regeln, starten Hooks, greifen auf Shell, Tokens und Cloud-Kontexte zu und wirken dadurch wie ein neuer Ausfuehrungspfad.

Das betrifft echte Entwicklerarbeit. Ein Projekt kann beim Clone harmlos wirken und erst beim Oeffnen im gewohnten Tool riskant werden. Damit reicht klassische Paket-Scanning-Logik nicht mehr aus.

Einfach erklaert

Es ist wie ein Werkzeugkasten, in dem jemand eine kleine Notiz neben den Schraubendreher legt: "Bitte starte diese Maschine, sobald der Kasten geoeffnet wird." Frueher haette man nur die Schrauben geprueft. Jetzt muss man auch die Notizen pruefen, weil smarte Werkzeuge sie ausfuehren koennen.

Praktisches Beispiel

Ein Entwickler klont ein internes Demo-Repo fuer ein Kundenprojekt. Im Diff sieht niemand normale Codeaenderungen, nur neue .claude, .cursor und .vscode Dateien. Wenn das Team diese Dateien ignoriert, kann ein Agent beim Start ein Skript ausfuehren, das GitHub-, npm- oder Cloud-Tokens sammelt. Ein sinnvoller Prozess wuerde solche Ordner in Reviews sichtbar markieren und Agent-Hooks standardmaessig blockieren.

Einordnung und Grenzen

  • Die oeffentlichen Berichte basieren vor allem auf Sicherheitsanalysen; Microsofts vollstaendige eigene Aufarbeitung war zum Zeitpunkt der Recherche nicht sichtbar.
  • Nicht jedes Repository mit Tool-Konfiguration ist boesartig; der Kontext und die konkrete Ausfuehrungslogik zaehlen.
  • Die strukturelle Lehre bleibt auch dann gueltig, wenn einzelne Zahlen spaeter praezisiert werden: Agenten-Konfigurationen sind Supply-Chain-Oberflaeche.

SEO- und GEO-Schluesselbegriffe

Miasma worm, AI coding agents, Claude Code, Gemini CLI, Cursor, VS Code, GitHub supply chain, Microsoft Azure repositories, credential theft, developer security

💡 Im Klartext

Miasma verlagert Supply-Chain-Angriffe vom Paketmanager in die Arbeitsumgebung der Entwickler. Was wie Tool-Konfiguration aussieht, kann fuer AI-Coding-Agenten ein Startsignal zur Ausfuehrung sein.

Wichtigste Erkenntnisse

  • StepSecurity meldete den Microsoft-bezogenen Vorfall am 5. Juni 2026.
  • GitHub deaktivierte laut Bericht 73 Repositories in mehreren Microsoft-Organisationen.
  • Der Angriff zielte auf AI-Coding-Tools und Editor-Konfigurationen.
  • Klassische Paket-Scans reichen gegen solche Repo-Hooks nicht aus.
  • Teams sollten Agenten-Konfigurationen in Reviews wie ausfuehrbaren Code behandeln.

Häufige Fragen

Warum sind `.claude` oder `.cursor` Dateien riskant?

Weil Agenten und Editoren sie als Regeln oder Hooks lesen koennen. Dadurch koennen sie Verhalten ausloesen, das in normalem Quellcode nicht sichtbar ist.

Reicht Paket-Scanning dagegen?

Nein. Der Angriff kann beim Oeffnen oder Bearbeiten eines Repositories entstehen, nicht erst bei einer Paketinstallation.

Was sollten Teams sofort pruefen?

Unerwartete Agenten- und Editor-Konfigurationen, automatische Hooks, direkte Main-Commits und Token-Zugriffe in Entwicklerumgebungen.

Quellen & Kontext

Read in English →