GitHub Dibobol Lewat Ekstensi VS Code Racun: Repositori Internal Dicuri, 3.800 Direktori Terdampak
Baca dalam 60 detik
- Serangan rantai pasok baru: GitHub mengonfirmasi bahwa perangkat karyawan dikompromikan melalui ekstensi Visual Studio Code berbahaya, mengakibatkan repositori internal perusahaan dieksfiltrasi.
- Klaim peretas: Kelompok peretas TeamPCP mengaku telah mengakses 3.800 repositori dan menjualnya di forum cybercrime—angka yang diakui GitHub sebagai "arah yang konsisten" dengan investigasi internal mereka.
- Risiko ekosistem pengembang: Ekstensi VS Code memiliki akses penuh ke mesin pengembang (kode sumber, kredensial, sistem build), sementara solusi keamanan tradisional (EDR) tidak mencakup lapisan ini—menciptakan celah buta di banyak organisasi.
SAN FRANCISCO, KALIFORNIA — GitHub, platform pengembangan perangkat lunak milik Microsoft, mengumumkan pada Selasa (19/5) malam bahwa repositori internal perusahaan telah dicuri setelah perangkat karyawan dikompromikan melalui ekstensi Visual Studio Code (VS Code) yang diracuni. Insiden ini menyoroti meningkatnya risiko yang dihadapi platform pengembangan perangkat lunak dan ekosistem alat bantu pihak ketiga yang dibangun di sekitarnya.
Ekstensi VS Code: Akses Penuh yang Tidak Terdeteksi
Dalam unggahan di X (sebelumnya Twitter), GitHub menyatakan bahwa mereka telah mendeteksi dan mengisolasi kompromi tersebut, menghapus versi ekstensi berbahaya, mengamankan titik akhir yang terdampak, serta memulai investigasi insiden. Penilaian awal perusahaan menunjukkan bahwa aktivitas ini hanya melibatkan repositori internal GitHub—bukan data pelanggan yang disimpan di luar repositori yang terdampak. GitHub juga memutar (rotated) kredensial kritis pada Selasa, dengan prioritas tertinggi diberikan pada kredensial yang paling berdampak.
Charlie Eriksen, peneliti keamanan dari Aikido Security, menjelaskan bahaya ekstensi VS Code kepada CyberScoop: "Hal yang diremehkan orang tentang ekstensi VS Code adalah bahwa mereka memiliki akses penuh ke segalanya di mesin pengembang. EDR (Endpoint Detection and Response) sama sekali tidak mencakup lapisan ini. Yang hilang dari sebagian besar organisasi adalah visibilitas ke dalam apa yang sebenarnya berjalan di mesin pengembang dan kemampuan untuk mengendalikannya."
📊 DATA INSIDEN
Target: Repositori internal GitHub
Metode: Ekstensi VS Code beracun
Dampak klaim: 3.800 repositori (TeamPCP)
Data pelanggan: Tidak terdampak (menurut GitHub)
Tindakan: Rotasi kredensial, isolasi endpoint, investigasi
Rantai Serangan: Satu Karyawan, Ribuan Repositori
Kelompok peretas TeamPCP, yang sebelumnya dikenal dengan serangan terhadap paket pengembangan perangkat lunak, mengklaim telah mengakses 3.800 repositori. GitHub mengakui bahwa klaim tersebut "konsisten secara arah" dengan investigasi mereka sejauh ini. TeamPCP dikabarkan telah menawarkan materi curian untuk dijual di forum cybercrime dan mengancam akan merilisnya jika tidak ada pembeli. Insiden ini mengikuti serangkaian serangan rantai pasok yang melibatkan ekosistem npm, PyPI, Docker, dan platform pengembang lainnya. Dalam serangan-serangan tersebut, pelaku sering menargetkan pemelihara paket (maintainers), kredensial, atau paket itu sendiri—bukan menyerang pengguna akhir secara langsung. Satu akun pengembang, paket, ekstensi, atau proses build yang dikompromikan dapat menciptakan akses ke banyak sistem hilir.
Prospek ke Depan: Ekosistem Pengembang di Bawah Bayang-Bayang
Ke depan, insiden ini menjadi peringatan bahwa ekosistem alat bantu pengembang (developer tooling ecosystem) adalah medan perang baru dalam keamanan siber. Visual Studio Code Marketplace sebelumnya juga diwarnai oleh ekstensi trojan yang menyamar sebagai alat pengembangan sah—beberapa di antaranya digunakan untuk mencuri kredensial, menambang mata uang kripto, atau mengeksfiltrasi data sebelum akhirnya dihapus. Platform seperti GitHub, GitLab, dan Bitbucket berada di pusat produksi perangkat lunak bagi perusahaan, pemerintah, pemelihara sumber terbuka, dan pengembang independen. Sistem internal dan kode mereka menjadi target yang jelas bagi penyerang. GitHub berjanji akan menerbitkan laporan lengkap setelah investigasi selesai. Namun, satu hal yang pasti: tanpa peningkatan visibilitas dan kontrol atas apa yang berjalan di mesin pengembang, serangan serupa akan terus terulang—dan bisa berdampak jauh lebih besar daripada repositori internal GitHub.
"The thing people underestimate about VS Code extensions is that they have full access to everything on the developer's machine. EDR doesn't cover this layer at all. What's missing for most organisations is any kind of visibility into what's actually running on developer machines and the ability to control it." — Charlie Eriksen, Security Researcher at Aikido Security.
