Worm Miasma compromete 73 repositórios da Microsoft no GitHub em 105 segundos usando assistentes de IA como vetor

Um ataque silencioso de dois minutos

Na tarde de 5 de junho de 2026, em menos tempo do que leva para preparar um café, o grupo de ameaças persistentes conhecido como TeamPCP conseguiu comprometer 73 repositórios oficiais da Microsoft no GitHub. O vetor escolhido não foi uma vulnerabilidade zero-day nem uma técnica de força bruta: foram as próprias ferramentas de inteligência artificial que os desenvolvedores utilizam no cotidiano para escrever código mais rápido. O worm batizado de Miasma transformou assistentes como Claude Code, Gemini CLI, Cursor e o próprio VS Code em cúmplices involuntários de uma das operações de ataque à cadeia de suprimentos de software mais ágeis já documentadas.

Como o Miasma funcionava

A infecção teve início quando uma conta previamente comprometida de um colaborador empurrou um commit malicioso ao repositório Azure/durabletask. O commit foi estrategicamente disfarçado: a data de autoria foi manipulada para 2020 e a mensagem incluía a flag [skip ci], impedindo que pipelines de integração contínua disparassem alertas automáticos. O conteúdo não alterava uma linha sequer do código-fonte — apenas adicionava cinco arquivos de configuração cuidadosamente posicionados para ativar execução automática em diferentes ambientes de desenvolvimento.

Cada arquivo visava um assistente de IA específico. Para o Claude Code, o atacante plantou um .claude/settings.json com um hook de SessionStart que executava silenciosamente o script .github/setup.js ao abrir qualquer projeto. O Gemini CLI recebeu tratamento idêntico via .gemini/settings.json. O Cursor foi atingido por meio de uma injeção de prompt no arquivo .cursor/rules/setup.mdc, configurado com a flag alwaysApply: true. Já o VS Code foi comprometido por uma tarefa definida no .vscode/tasks.json, programada para disparar automaticamente na abertura da pasta do projeto.

O arquivo .github/setup.js, o verdadeiro coração do ataque, era um JavaScript ofuscado de 4,6 megabytes capaz de varrer credenciais de mais de 90 ferramentas e plataformas — incluindo AWS, Azure, GCP e Kubernetes — e exfiltrá-las para servidores controlados pelo TeamPCP. Bastava um desenvolvedor abrir o repositório infectado em seu ambiente local com qualquer um dos assistentes de IA afetados para que o roubo ocorresse de forma completamente transparente.

105 segundos, duas ondas, 73 repositórios

A escala e a velocidade da propagação revelam um grau de automação sofisticado. As desativações realizadas pela Microsoft aconteceram em dois pulsos distintos monitorados por pesquisadores da StepSecurity: na primeira onda, entre 16h00m50s e 16h01m28s UTC, 39 repositórios foram comprometidos em 38 segundos; na segunda, entre 16h02m24s e 16h02m35s UTC, outros 34 repositórios foram atingidos em apenas 11 segundos. O total de 73 repositórios afetados, distribuídos em quatro organizações da Microsoft no GitHub, foi alcançado em uma janela de 105 segundos — o que demonstra execução automatizada em larga escala.

A campanha Miasma não era inédita para o grupo. Um ataque anterior, registrado em 19 de maio, utilizava um payload diferente: um arquivo Python chamado rope.pyz, de 28 kilobytes, que dependia de comunicação ativa com servidores de comando e controle externos. A versão de junho, mais compacta e autossuficiente em seu estágio de coleta, representa uma evolução técnica significativa na abordagem do TeamPCP. A infraestrutura de comando e controle identificada nos dois ataques é a mesma, confirmando a autoria.

Implicações para a segurança no ecossistema de desenvolvimento

O caso Miasma lança luz sobre um vetor de ataque que vem ganhando atenção crescente entre especialistas em segurança: a exploração de agentes de IA como superfície de ataque. Ferramentas como Claude Code e Cursor executam código e scripts de forma automatizada ao interagir com repositórios, e arquivos de configuração mal intencionados podem redirecionar esse comportamento para fins maliciosos sem que o desenvolvedor perceba. Empresas de segurança como Wiz, Endor Labs e StepSecurity têm alertado para esse risco à medida que a adoção de agentes de codificação com IA acelera nas equipes de engenharia ao redor do mundo.

Para desenvolvedores que utilizam qualquer um dos assistentes afetados, a recomendação imediata é revisar arquivos de configuração em repositórios recém-clonados antes de abri-los no ambiente de trabalho, especialmente em projetos de terceiros ou de grandes organizações que possam ter sofrido comprometimentos de contas de colaboradores. O ataque também reforça a necessidade de políticas mais rígidas de revisão de código para mudanças que toquem em arquivos de configuração de ferramentas de desenvolvimento, mesmo quando essas mudanças pareçam inócuas à primeira vista.

Fonte original: Microsoft derruba 73 repositórios no GitHub após ataque hacker — Tecnoblog. Análise técnica: StepSecurity. Publicado originalmente em 9 de junho de 2026.