Ein KI-Coding-Agent soll Entwicklern Arbeit abnehmen, doch genau diese Automatik wird gerade zum Einfallstor. Microsoft musste 73 eigene GitHub-Repositorys abschalten, nachdem ein selbstverbreitender Wurm darüber Zugangsdaten abgriff.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Waren Sie schon in der Situation, ein fremdes Repository einfach im Editor zu öffnen? Genau dieser Reflex genügt beim sogenannten Miasma-Wurm für die Infektion.

Das Wichtigste in Kürze

  • Microsoft und GitHub deaktivierten 73 Repositorys in vier Organisationen, nachdem ein gekapertes Konto Schadcode in das Repository Azure/durabletask eingeschleust hatte.
  • Der Miasma-Wurm versteckt sich in Konfigurationsdateien, die Claude Code, Gemini CLI, Cursor und VS Code beim Öffnen des Ordners automatisch ausführen.
  • Die 4,6 Megabyte große Schadlast greift Zugangsdaten für AWS, Azure, GCP, Kubernetes, npm und über 90 weitere Entwickler-Werkzeuge ab.
  • GitHub sperrte die betroffenen Repositorys in einem automatischen Durchlauf von 105 Sekunden.

Wie ein geöffneter Ordner zur Falle wird

Ein mechanischer Steampunk-Käfer auf einem Briefumschlag mit dem Aufkleber setup.js
Schädlicher Commit mit fünf versteckten Dateien injiziert Hooks in Claude, Gemini und VS Code, um beim Öffnen des Projektordners automatisch auszuführen

Der schädliche Commit schleuste fünf unscheinbare Dateien ein, darunter eine .claude/settings.json mit SessionStart-Hook, eine passende Variante für Gemini CLI und eine .vscode/tasks.json, die beim Öffnen des Ordners startet. Bei Cursor tarnt sich die Anweisung als angeblich nötige Projekteinrichtung und nutzt eine Prompt-Injection.

Das bloße Klonen bleibt harmlos, erst das Öffnen im Editor löst die verschleierte Schadlast aus. Die Forscher von StepSecurity raten deshalb, geklonte Projekte vor dem Öffnen auf verdächtige .claude-, .gemini-, .cursor- und .vscode-Dateien zu prüfen. Wie schnell wir solche Hinweise wegklicken, zeigt das Phänomen der Permission Fatigue.

Eine neue Klasse von Lieferketten-Angriffen

Stahlkette mit Aufkleber eines Wurms und Text „WÜRMCHEN-GESTELLT!“ auf grauem Grund
Über erbeutete Tokens schreibt sich der Wurm selbst weiter.

Der Wurm verbreitet sich selbst, indem er erbeutete GitHub-Tokens nutzt, um sich in jedes erreichbare Repository zu schreiben und gekaperte npm-Pakete neu zu veröffentlichen. Bereits über 113 infizierte Repositorys sind dokumentiert, gestartet war die Kampagne im Mai über ein präpariertes PyPI-Paket.

Der eigentliche Angriffspunkt ist nicht der Code, sondern das Vertrauen, das der KI-Agent dem Projekt entgegenbringt. Ähnlich gelagert war zuletzt eine Masche mit Malware über geteilte ChatGPT- und Claude-Chats.

So schützen Sie Ihre Entwicklungsumgebung

Vorhängeschloss mit Holzanhänger, darauf Text „vor dem Öffnen prüfen“
Vor dem Öffnen eines fremden Projekts lohnt der prüfende Blick.

Schalten Sie automatische Tasks beim Ordnerstart ab und pinnen Sie GitHub Actions auf feste Commit-Hashes statt auf veränderliche Tags. Beschränken Sie außerdem den ausgehenden Netzwerkverkehr Ihrer CI/CD-Runner, damit eine Schadlast keine Daten nach außen funkt.

Für Betriebe im DACH-Raum rückt damit die Software-Lieferkette stärker in den Fokus der NIS2-Pflichten. Eine nachvollziehbare Stückliste für eingesetzte KI- und Software-Komponenten hilft, solche Vorfälle früh einzugrenzen.

Die gefährlichste Lücke sitzt nicht mehr im Code, sondern im blinden Vertrauen, mit dem wir Assistenten Befehle ausführen lassen. Sicherheit beginnt damit, jeden fremden Ordner wie eine offene Tür zu behandeln.

— Markus Seyfferth, Chefredakteur Dr. Web

Mehr Newshunger?

Offenes Notizbuch mit dem Wort „Mehr“, Kuli und Klebezettel
Mehr aktuelle Beiträge zu KI-Sicherheit.
4,5 15 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?

Artikel teilen
X LinkedIn Facebook XING WhatsApp E-Mail