Platform GitHub diserang kampanye rantai pasokan GhostAction, mencuri 3.325 rahasia proyek

Sebuah serangan rantai pasokan besar-besaran yang dikenal dengan nama GhostAction telah berhasil mengkompromikan 3.325 rahasia yang tersebar di setidaknya 817 repositori di GitHub, menyerang setidaknya 327 pengguna. Serangan ini pertama kali ditemukan oleh peneliti keamanan dari GitGuardian pada awal September 2025 saat memantau aktivitas anomali di salah satu proyek bernama FastUUID.

Teknik yang digunakan dalam kampanye GhostAction melibatkan akun maintainer yang telah diretas kemudian melakukan commit berisi file workflow GitHub Actions berbahaya yang otomatis aktif saat terjadi push kode atau perintah manual. Workflow jahat ini bertugas mengambil rahasia sensitif dari lingkungan GitHub Actions proyek, lalu mengirimkannya ke domain yang dikendalikan pelaku melalui permintaan curl POST. Rahasia yang dicuri meliputi token akses PyPI, npm, DockerHub, GitHub, Cloudflare, AWS, serta kredensial database.

Dilaporkan bahwa setidaknya 817 repositori telah diinjeksi commit berbahaya yang mengarah ke endpoint sama, yaitu di ‘bold-dhawan[.]45-139-104-115[.]plesk[.]page’. Pelaku terlebih dahulu mengidentifikasi nama-nama rahasia yang dipakai di workflows asli kemudian menyusun ulang workflow jahat agar dapat mengeksfiltrasi berbagai tipe rahasia tersebut. Meski token PyPI pernah dicuri, tidak ditemukan indikasi adanya rilis paket berbahaya yang dipublikasikan selama periode kompromi.

GitGuardian merespon dengan cepat dengan membuka isu keamanan di 573 repositori terdampak dan memberi tahu tim keamanan GitHub, npm, serta PyPI. Sebagian repositori telah mengidentifikasi dan membatalkan perubahan berbahaya sebelum endpoint eksfiltrasi mati. Analisis menunjukkan bahwa serangan ini menargetkan beberapa ekosistem paket seperti Rust, Python, JavaScript, dan Go, serta menggandeng SDK perusahaan besar secara simultan.

Teknik GhostAction merupakan evolusi signifikan dari pola serangan rantai pasokan CI/CD yang memanfaatkan kompromi akun developer untuk mencuri rahasia software dan berpotensi mengganggu integritas pengembangan. Untuk mitigasi, pengguna disarankan segera mengaudit repositori mereka, menghapus workflow berbahaya, serta mengganti semua rahasia yang terpapar termasuk token dan kunci akses.

Serangan ini menandai pentingnya penerapan strategi keamanan berlapis pada pipeline CI/CD untuk melindungi proyek sumber terbuka maupun privat dari ancaman pencurian data dan penyusupan yang semakin canggih.