Miasma (worm)
Miasma 是一个自传播型供应链蠕虫,通过劫持 npm 包、PyPI 包和 GitHub 仓库配置文件,窃取开发者凭证和云服务密钥。它以威胁组织 TeamPCP 在 2026 年 5 月 12 日开源的 Mini Shai-Hulud 为基础,新增了专门针对 AI 编程 agent 的攻击向量。
攻击活动从 2026 年 6 月 1 日开始,通过劫持 CI/CD 凭证入侵了 32 个 @redhat-cloud-services npm 包(每周下载量 80,000 次)。6 月 3 日,新一波攻击引入了「Phantom Gyp」绕过安装钩子扫描器。6 月 5 日,GitHub 下架了 73 个微软仓库,其中包括 Azure Functions GitHub Action。触发点在于:开发者在 Claude Code、Gemini CLI、Cursor 或 VS Code 里打开被感染仓库时,Miasma 预先埋好的配置钩子就会自动执行。
2026 年 6 月 5 日,一个恶意提交推入 Azure/durabletask,植入了五个文件:`.claude/settings.json`(钩住 Claude Code 的 SessionStart 事件)、`.gemini/settings.json`(对应 Gemini CLI)、`.cursor/rules/setup.mdc`(通过提示词注入执行)、`.vscode/tasks.json`(文件夹打开时触发),以及 `.github/setup.js`,一个 4.6 MB 的混淆 JavaScript 文件,用于收割 AWS、Azure、GCP、Kubernetes 及 90+ 款开发者工具的凭证,之后向所有可访问的仓库自我传播。
就像酒店里有人把门撑开:一张被盗的门卡,能让蠕虫推开整层楼的每一间房。
搜索热度
-
萌芽0–7 天
-
初现8–30 天
-
验证中 ← 当前31–90 天
-
上升91–180 天
-
成熟180 天以上
为什么是现在火?
Miasma 是首个把 AI 编程 agent 配置文件当作持久化武器的蠕虫。6 月 1 至 5 日,它先后打穿了 Red Hat(32 个 npm 包)和微软(73 个 GitHub 仓库,包括 Azure Functions Action)。Mini Shai-Hulud 在 5 月 12 日开源后,任何威胁组织都可以克隆并部署同类能力。
前景
未来 6 个月的信号走势和商业化节奏。
AI 编程 agent 的配置文件已成为新的攻击面,每个在用 Claude Code 或 Cursor 的团队,都需要在几周内备好应对方案。
风险 · 如果微软和 Red Hat 撤销了所有被盗 token,这次攻击的传播机制就会迅速瓦解。
类比 · XZ Utils backdoor · SolarWinds supply chain · event-stream malware
-
现在安全应急指导正急需
各团队忙着排查仓库里有没有被注入的配置文件,事件响应和工具防御指导有明显的付费需求。
-
3-6 个月AI agent 加固工具
厂商开始做扫描产品,在开发者打开仓库前就检测出恶意的 .claude/settings.json 和 .cursor/rules 注入。
-
6-12 个月合规与治理层
企业 AI 编程 agent 治理框架开始成型,合规审计人员把 AI agent 配置文件纳入供应链审查清单。
“Miasma (worm)” 的竞争与机会
三个启发式信号,来自追踪到的搜索词、这个词的变现卡片,还有它的相关词。仅供参考,未经核实。
“Miasma (worm)” 能做的点子
把这个词做成文章、网站、产品、帖子、邮件、视频或课程,随便挑一张卡片就能开干。
面向「miasma worm」和「miasma supply chain attack」这类高意图查询的解释型文章;这词刚出来,目前没有现成页面在竞争。
面向想验证仓库是否干净的开发者,逐步讲解如何检测 .claude/settings.json 和 binding.gyp 载荷的实操清单文章。
面向在评估风险框架的安全从业者,重点讲配置文件注入为何能绕过 SLSA 来源校验。
一个轻量级 GitHub Action 或 pre-commit hook,在异常的 .claude/、.gemini/ 或 .cursor/rules/ 变更出现时告警,直接填上 Miasma 暴露的这个缺口。
面向 SOC 团队的 SaaS 工具,扫描 GitHub 组织仓库里的 Phantom Gyp 特征、异常 binding.gyp 文件和 AI agent session 钩子。
面向平台工程和应用安全团队的持续简报,追踪 npm/PyPI/GitHub 蠕虫事件;用 Miasma 当创刊号的切入点。
沙箱复现的 YouTube 技术演示,抓住「克隆就中招」这个直观恐惧点,在安全向受众中传播力强。
Miasma 蠕虫没有利用任何零日漏洞,只是在 .claude/settings.json 里放了一个文件,然后等你打开仓库。
Azure Functions GitHub Action 在 6 月 5 日下线了 30 多分钟,原因是 5 月 19 日被盗的凭证在 17 天后还有效。
Mini Shai-Hulud 的源代码在 2026 年 5 月 12 日上了 GitHub,20 天后,一个叫 Miasma 的新变种就已经打穿了 Red Hat,接着又打穿了微软。
大家在搜什么
来自 Google Suggest 和 Trends 的长尾词。热度和竞争度是估算,仅供参考,未经核实。内容类型由搜索词的写法推断。
“Miasma (worm)” 的搜索结果
现在搜索的人会看到的页面:自然结果在上,有人投广告就显示在那。广告多少是实时的商业化信号。
常见问题
什么是 Miasma (worm)?
Miasma 是一个自传播型供应链蠕虫,通过劫持 npm 包、PyPI 包和 GitHub 仓库配置文件,窃取开发者凭证和云服务密钥。它以威胁组织 TeamPCP 在 2026 年 5 月 12 日开源的 Mini Shai-Hulud 为基础,新增了专门针对 AI 编程 agent 的攻击向量。
Miasma (worm) 为什么现在火?
Miasma 是首个把 AI 编程 agent 配置文件当作持久化武器的蠕虫。6 月 1 至 5 日,它先后打穿了 Red Hat(32 个 npm 包)和微软(73 个 GitHub 仓库,包括 Azure Functions Action)。Mini Shai-Hulud 在 5 月 12 日开源后,任何威胁组织都可以克隆并部署同类能力。
Miasma (worm) 是什么时候出现的?
约于 2026-06-01 公开出现(截至 2026-07-04 约 33 天前)。EarlyTerms 最早于 2026-06-09 记录到信号。
相关词
同一领域里的其他词:别名、子类、竞品,以及值得接着看的邻近词。
- 属于 Mini Shai-Hulud Mini Shai-Hulud 是 Shai-Hulud 供应链蠕虫家族的第四代变体,由威胁组织 TeamPCP 开发,通过窃取 CI/CD 凭据、以被控维护者账号发布感染版本,在 npm、PyPI 和 Packagist 三个包仓库里自我扩散。 →
- 相关 agent-traps "Agent traps" is the shorthand English phrase that maps one-to-one to AI Agent Traps, the taxonomy Google DeepMind published on March… →
- 相关 claude-code Claude Code 是 Anthropic 官方的命令行编程 agent,在终端里跑:读你的代码库、改文件、执行命令、发 PR、用自然语言驱动跑得起来的工程工作流。它以 `@anthropic-ai/claude-code` npm 包的形式发布,同时附带 VS… →
- 相关 coding-agents Coding Agents 是一类 AI 编程工具的品类名。这类工具能自主完成代码工作:读仓库、想改法、改文件、跑测试、开 PR,而不是像 2021 年那批 copilot 只在光标处补几行。 →
- 相关 agentic-coding Agentic coding 是让 AI agent 自主完成开发任务的工作方式:agent 自己规划、写代码、跑测试、读报错、修改,一轮轮迭代直到跑通,不需要人在每一步之间点头。这和 autocomplete 式的「AI pair… →
- 相关 agents-md AGENTS.md 是一个开放的、不绑定任何厂商的 Markdown 文件,放在仓库根目录,告诉 AI 编程 agent (Claude Code、Codex CLI、Cursor、Copilot、Jules、Amp、Factory、Windsurf)… →
- 相关 protestware Protestware 是开源维护者故意在自己管的包里埋下破坏行为,借此发出政治或社会抗议,受害方是用户,不是外部攻击者。手段从弹出横幅到直接删文件都有。 →
- 相关 stop-hook Stop hook 是 Claude Code 生命周期事件,每次 agent 完成一轮响应就会触发。配置在 `Stop` 上的 shell 命令、HTTP 接口或大模型 prompt,可以返回 `{"decision": "block"}` 强制 Claude… →
- 相关 webhook-secrets Webhook secret 是收发双方共享的字符串,用来验证 webhook 推送的真实性:发送方对消息体做 HMAC 签名,附在 `X-Hub-Signature-256` 这类 header… →
- 相关 npmx npmx 是 npm 注册表的开源替代前端,由社区驱动搭建,弥补了 npmjs.com 多年来积压的功能缺口:即时搜索、依赖安装体积显示、ESM/CJS 格式检测、版本 diff,以及基于 AT Protocol 的社区互动功能。包数据和 npm… →
- 属于
- 包含
来源
这份报告引用的一手链接,点开任意一条都能自己核对。
- 01 Snyk:Miasma 供应链攻击 — RedHat-cloud-services npm 中的恶意代码 (Jun 1, 2026) snyk.io ↗
- 02 StepSecurity:Miasma 蠕虫再次打击微软 — Azure Functions Action 及另外 72 个仓库下架 (Jun 8, 2026) stepsecurity.io ↗
- 03 StepSecurity:Miasma npm 供应链攻击 — Phantom Gyp 自传播蠕虫 (Jun 4, 2026) stepsecurity.io ↗
- 04 SafeDep:Miasma 蠕虫借 GitHub 仓库配置注入攻击 AI 编程 agent (Jun 5, 2026) safedep.io ↗
- 05 Microsoft Security Blog:从 preinstall 到持久驻留 — Red Hat npm Miasma 凭证窃取行动内部剖析 (Jun 2, 2026) microsoft.com ↗
- 06 Wiz Research:Miasma 供应链攻击 — 针对 RedHat npm 包 (Jun 2, 2026) wiz.io ↗
- 07 Snyk 漏洞库:SNYK-JS-REDHATCLOUDSERVICESHCCFEOMCP-17117403 — 严重 CVSS 9.3 (Jun 1, 2026) security.snyk.io ↗
- 08 SafeDep 威胁情报:Miasma — The Spreading Blight 攻击活动追踪 (ongoing) safedep.io ↗