Miasma-worm treffer AI-kodeagenter i Microsoft-repoer

GitHub har deaktivert 73 Microsoft-repoer etter en ny Miasma-kampanje som flytter supply chain-angrepet fra pakkeregisteret til utviklerens arbeidsmappe. Det gjør saken viktigere enn nok en malware-notis. Angrepet viser hvordan AI-kodeverktøy kan bli en ny kjørbar flate i kildekoden.

Ifølge StepSecurity ble en ondsinnet commit presset inn i Azure/durabletask-repoet 5. juni, med en tidligere kompromittert bidragskonto. GitHub stengte deretter tilgangen til 73 repoer på tvers av fire Microsoft-organisasjoner på GitHub. Blant repoene som er omtalt av sikkerhetsmiljøet er Azure, Azure-Samples, Microsoft og MicrosoftDocs-relaterte prosjekter. En direkte sjekk mot GitHub API for Azure/durabletask returnerte også meldingen "Repository access blocked" med blokkeringstidspunkt 2026-06-05T16:02:24Z.

Det nye er ikke bare at Microsoft-relaterte repoer ble truffet. Det nye er metoden. Commiten endret ikke vanlig applikasjonskode. Den la inn konfigurasjonsfiler som kan trigge kode når en utvikler åpner repoet i verktøy som Claude Code, Gemini CLI, Cursor eller VS Code. SafeDep beskriver samme kampanje som en variant der angriperen planter en payload-runner i repoet og kobler den til flere utviklerverktøy. Angrepet går dermed rundt mange kontroller som er laget for npm, PyPI, install-scripts og CI/CD.

For norske CIO-er og CISO-er er dette en ganske presis advarsel: AI-koding gjør ikke bare utviklere raskere. Den endrer også hva som må regnes som eksekverbart materiale. En .claude-katalog, en Cursor-regel eller en VS Code-task kan ikke lenger behandles som uskyldig prosjektstøy. I en agentdrevet utviklingsflyt kan slike filer bli en instruksjonskanal, et autorisasjonspunkt og en snarvei til credentials på samme tid.

Fra pakkeregister til "folder open"

Klassiske supply chain-angrep har ofte misbrukt installasjonskroker. En pakke med ondsinnet preinstall-script, setup.py eller postinstall-logikk kan hente secrets idet utvikleren installerer avhengigheter. Det er alvorlig, men forsvarerne vet hvor de skal lete. Mange organisasjoner skanner package.json, lock-filer, CI-jobber og kjente livssyklus-hooks.

Miasma-saken flytter trykket. StepSecurity skriver at den ondsinnede committen i Azure/durabletask la inn filer for flere verktøy, blant annet .claude/settings.json, .gemini/settings.json, .cursor/rules/setup.mdc og VS Code-konfigurasjon. Poenget var ikke å lure pakkebehandleren. Poenget var å få utviklerens verktøy til å kjøre payload når prosjektet ble åpnet eller agentøkten startet.

Det er en liten teknisk forskjell med stor styringsmessig konsekvens. Mange virksomheter har kontroll på hva som kjøres i build. Færre har like god kontroll på hva utviklerens lokale AI-agent får lov til å lese, tolke og starte. Hvis agenten har tilgang til terminal, repo, sky-CLI, token-lagre og intern dokumentasjon, blir den et attraktivt mål.

Microsoft-navnet gjør saken synlig. Mønsteret er bredere

Det er lett å lese saken som et Microsoft-problem. Det er for smalt. SafeDep skriver at samme fingeravtrykk dukket opp i mer enn 120 repoer på tvers av flere kontoer, og at kampanjen også berørte åpne repoer utenfor Microsoft. The Hacker News beskriver Miasma som en selvreplikerende supply chain-kampanje som har mutert videre fra tidligere Mini Shai-Hulud-varianter.

Microsoft-delen er likevel viktig fordi den viser hvor langt tillitskjeden kan strekke seg. Durabletask-miljøet er ikke et tilfeldig hobbyprosjekt. Det er koblet til Azure-økosystemet og serverless-orientert utvikling. Når slike repoer blir deaktivert, får virksomheter et praktisk bilde av risikoen: En legitim konto, en tilsynelatende plausibel commit, en gammel tidsstempling og en [skip ci]-markør kan være nok til at angrepet slipper forbi første forsvarslinje.

Det betyr ikke at alle repoer med AI-agentkonfigurasjon er farlige. Men det betyr at sikkerhetsmodellen må oppdateres. Agentkonfigurasjon bør behandles mer som kode enn som dokumentasjon. Den bør inn i code review, policykontroll og avvikshåndtering.

Hva virksomheter bør gjøre nå

Første tiltak er å kartlegge om Claude Code, Gemini CLI, Cursor, GitHub Copilot-agentfunksjoner eller tilsvarende verktøy brukes i utviklingsmiljøet. Mange organisasjoner har allerede slik bruk uten at den står i verktøyregisteret. Det holder ikke å spørre om "AI-verktøy". Spør etter konkrete CLI-er, IDE-plugins, agenthooks og MCP-servere.

Andre tiltak er å skanne repoer etter agent- og IDE-konfigurasjon som kan starte kommandoer. Det gjelder særlig .claude, .gemini, .cursor, .vscode/tasks.json, package.json-scripts og skjulte setup-filer. Slike funn bør ikke automatisk blokkeres, men de bør få samme oppmerksomhet som nye GitHub Actions-workflows eller endringer i deploy-skript.

Tredje tiltak er å stramme inn secrets på utviklermaskiner. En agent som kan starte shell-kommandoer bør ikke samtidig ha fri tilgang til langlivede produksjonstokens, brede skylisenser eller personlige PAT-er med høy rettighet. Kortlevde credentials, least privilege, separate dev-kontoer og tydelig logging blir viktigere når agenten faktisk kan handle.

Fjerde tiltak er å lage en enkel policy for "åpning" av ukjente repoer. Tidligere var rådet ofte å ikke kjøre install før man stoler på prosjektet. Nå må rådet utvides: Ikke åpne ukjente repoer med en agent som har auto-hooks, terminaltilgang eller hemmeligheter før repoet er inspisert. Det høres banalt ut. Det er nettopp derfor det må inn i utvikleropplæringen.

Lederpoenget

Denne saken handler ikke om at AI-kodeverktøy er ubrukelige eller farlige i seg selv. Den handler om at verktøyene har fått nok autonomi til at gamle grenser ikke holder. Når agenten kan lese prosjektet, tolke regler og starte kommandoer, blir repoets metadata en del av kjøreflaten.

For styret er spørsmålet derfor ikke om utviklere skal få bruke AI. Det spørsmålet er i praksis allerede avgjort i mange miljøer. Spørsmålet er om virksomheten har kontroll på agentenes rettigheter, konfigurasjonsfiler, lokale credentials og hendelseslogging. Hvis svaret er nei, er dette en god uke å starte.

Kilder og medier

Primærkilde: StepSecurity, "Miasma Worm Hits Microsoft Again: Azure Functions Action and 72 Other Repositories Disabled After Supply Chain Attack Targeting AI Coding Agents": https://www.stepsecurity.io/blog/miasma-worm-hits-microsoft-again-azure-functions-action-and-72-other-repositories-disabled-after-supply-chain-attack-targeting-ai-coding-agents

Supplerende kilde: SafeDep, "Miasma Worm Targets AI Coding Agents via GitHub Repos": https://safedep.io/miasma-worm-ai-coding-agent-config-injection/

Supplerende kilde: The Hacker News, "Miasma Worm Hits 73 Microsoft GitHub Repositories in Major Supply Chain Attack": https://thehackernews.com/2026/06/miasma-worm-hits-73-microsoft-github.html

Verifisering: GitHub API for Azure/durabletask returnerte "Repository access blocked" under redaksjonell sjekk 7. juni 2026.

Thumbnail: OpenAI Image 2 / hogby.ai