通过AI代理和IDE配置文件进行恶意利用的新型供应链攻击“Miasma”的威胁

📰 新闻概要

• 恶意利用配置文件自动执行: 在仓库中的配置文件（.claude/settings.json等）中嵌入Shell命令，攻击者可以在开发者打开文件夹的瞬间执行代码。
• 广泛的目标工具: VS Code、Cursor、Claude Code、Gemini CLI、npm等主要开发工具和AI代理的“会话启动钩子”及“任务自动执行”功能成为攻击目标。
• Miasma蠕虫的传播: 已有121个仓库受到影响，约4.3MB的混淆掉落程序（.github/setup.js）通过此文件窃取和泄露AWS、GitHub、Kubernetes等的机密信息。

💡 重要的点

• 突破“信任验证”的手法: 利用开发者在没有深思熟虑的情况下点击“信任工作空间”的心理，随后在自动执行过程中运行恶意代码。
• 嵌入AI代理的命令: 在Cursor的项目规则（.cursor/rules/setup.mdc）中植入“为环境设置执行此代码”的提示注入手法，具体且巧妙。
• 高级混淆和检测规避: 掉落程序的大小经过调整，避免被GitHub的代码搜索索引，并通过凯撒密码和AES加密双重保护其有效负载。

🦈 鲨鱼的眼（策展人的视角）

“配置文件=仅仅是元数据”的常识，如今却成了最大的弱点！尤其是针对AI代理的“SessionStart”钩子，简直是在用便利性换取攻击者的后门全开！

这条新闻的惊人之处在于，攻击者正在**“黑客开发者的工作流程”**。准备一个看似正规用于设置的巨大文件.github/setup.js，然后从小的配置文件中同时调用它，这种结构极为计划周密且难以回避。即使查看diff（代码差异），也容易被误认为“哦，添加了一些设置”，这是极其犀利的攻击！

🚀 接下来会怎样？

未来，AI代理和编辑器的供应商将不得不对配置文件内的Shell命令执行实施更严格的沙盒化或“执行前明确列出所有命令”。“打开”仓库这一行为本身的风险将被重新定义，时代即将到来。

💬 鲨鱼视角的一句话

功能太过便利也有其风险！在主要环境中直接打开不熟悉的仓库，就像是跳进鲨鱼群中一样！首先在隔离环境（如Dev Container等）中观察是必不可少的！

📚 术语解释

• 供应链攻击: 针对软件开发和分发流程（供应链）中的脆弱部分进行攻击，进而扩大对其用户的影响。

• 提示注入: 将恶意命令混入对AI模型的指令中，导致其执行非预期的操作。本次攻击通过配置文件向AI代理下达指令。

• 掉落程序: 在计算机入侵后，用于下载和安装其他病毒或恶意软件的“运输工具”。

• 信息来源: Config Files That Run Code: Supply Chain Security Blindspot