GitHub pada 20 Mei memublikasikan pembaruan hasil investigasi insiden keamanan di X, mengonfirmasi bahwa perangkat seorang karyawan disusupi melalui ekstensi VS Code yang disusupi malware, yang menyebabkan sekitar 3.800 repositori internal dicuri. GitHub menyatakan tidak ada bukti bahwa data pelanggan yang disimpan di luar repositori kode internal di GitHub terpengaruh. GitHub telah menghapus ekstensi berbahaya, mengisolasi terminal yang terdampak, serta melakukan rotasi kredensial penting.
Rincian insiden keamanan yang dikonfirmasi GitHub
Berdasarkan konfirmasi pada postingan resmi X GitHub:
Cakupan terdampak: sekitar 3.800 repositori internal GitHub (jumlah yang diklaim penyerang pada dasarnya sejalan dengan hasil investigasi GitHub)
Akar masalah: perangkat karyawan disusupi
Jalur serangan: ekstensi VS Code yang disisipi kode berbahaya (serangan rantai pasok pengembang)
Dampak pelanggan: GitHub mengonfirmasi kebocoran “terbatas secara ketat pada data di repositori kode internal GitHub”, dan tidak menemukan bukti bahwa data pelanggan, perusahaan, organisasi, atau repositori mengalami dampak
Kondisi konfirmasi pelaku ancaman
Berdasarkan pengungkapan Dark Web Informer (lembaga intelijen ancaman): pelaku ancaman dengan nama samaran TeamPCP telah lebih dulu mempublikasikan informasi produk di dark web untuk menjual kode sumber internal GitHub dan data organisasi sebelum pengumuman di GitHub. Laporan H2S Media mengonfirmasi bahwa organisasi di balik malware worm TeamPCP dan Shai-Hulud adalah kelompok yang sama; malware tersebut baru-baru ini menimbulkan infeksi luas pada pustaka open source.
Langkah respons konfirmasi yang telah diambil
Berdasarkan konfirmasi pernyataan resmi GitHub:
Selesai: menghapus ekstensi VS Code berbahaya, mengisolasi terminal yang terdampak, serta memprioritaskan rotasi kredensial kunci yang paling terpengaruh (diselesaikan pada hari kejadian dan malam harinya)
Berlangsung: menganalisis log, memverifikasi situasi rotasi kredensial, memantau aktivitas lanjutan, dan melakukan investigasi respons insiden secara menyeluruh
Direncanakan: menerbitkan laporan lengkap setelah penyelidikan selesai; jika ditemukan dampak yang lebih luas, akan memberi tahu pelanggan melalui kanal respons insiden yang ada
Latar belakang konfirmasi insiden keamanan terbaru GitHub
Berdasarkan timeline terbaru yang dikonfirmasi oleh laporan H2S Media:
Tiga minggu lalu: peneliti Wiz mengungkap CVE-2026-3854, sebuah celah eksekusi kode jarak jauh (RCE) serius yang memungkinkan setiap pengguna yang sudah terverifikasi menjalankan perintah sewenang-wenang pada server backend GitHub melalui satu perintah git push
Minggu lalu: repositori kode GitHub milik SailPoint disusupi akibat celah pada aplikasi pihak ketiga
17 Mei 2026: Grafana Labs mengonfirmasi token GitHub mengalami kebocoran; pelaku ancaman memperoleh akses ke repositori dan mencoba melakukan pemerasan
Pertanyaan yang sering diajukan
Apakah penyusupan ini memengaruhi repositori publik GitHub atau repositori pengguna?
Berdasarkan pernyataan resmi GitHub, kebocoran data “dibatasi secara ketat pada repositori internal di GitHub”; saat ini tidak ada bukti bahwa data pelanggan, perusahaan, organisasi, atau repositori terpengaruh. Sistem yang menghadap pelanggan tidak terkena dampak.
Apa pintu masuk serangan ini, dan bagaimana cara pencegahannya?
Berdasarkan konfirmasi GitHub, jalur serangannya adalah ekstensi VS Code yang disusupi kode berbahaya, termasuk serangan rantai pasok pengembang. Pendiri Binance, CZ, menyarankan: “Kunci API di repositori privat harus segera diperiksa dan diganti.”
Kapan GitHub akan merilis laporan insiden lengkap?
Berdasarkan pernyataan resmi GitHub, laporan lengkap akan dirilis setelah penyelidikan selesai, namun waktu pastinya belum diumumkan.
