Checkmarx Konfirmasi Peretas LAPSUS$ Bocorkan Data GitHub Miliknya yang Dicuri
Perusahaan keamanan aplikasi Checkmarx secara resmi mengonfirmasi bahwa kelompok ancaman siber pemerasan yang terkenal, LAPSUS$, telah membocorkan data yang dicuri dari repositori GitHub pribadi milik perusahaan.
Meskipun investigasi internal dan forensik masih terus berlangsung, Checkmarx meyakini bahwa vektor akses utama peretasan ini bermula dari insiden serangan rantai pasokan (supply-chain attack) Trivy baru-baru ini. Serangan tersebut dikaitkan dengan kelompok peretas TeamPCP, yang sukses memberikan penyerang akses ke kredensial penting dari pengguna hilir (downstream).
Riwayat Peretasan dan Injeksi Malware
Dengan menggunakan kredensial curian yang diperoleh dari insiden Trivy tersebut, aktor ancaman mampu mengakses lingkungan repositori GitHub Checkmarx secara mendalam.
“Sebagai akibat dari akses tersebut, penyerang dapat berinteraksi dengan lingkungan GitHub Checkmarx dan selanjutnya memublikasikan kode berbahaya ke artefak tertentu,” jelas pihak perusahaan mengenai insiden yang terjadi pada 23 Maret 2026 tersebut.
Lebih parah lagi, pada 22 April 2026, berkat akses mereka yang diperbarui atau persistensi yang bertahan selama sebulan penuh, penyerang kembali berulah. Mereka memublikasikan image Docker berbahaya, serta ekstensi VSCode dan Open VSX palsu untuk alat pemindai keamanan KICS milik Checkmarx. Ekstensi berbahaya ini secara khusus dirancang untuk menyedot kredensial, kunci rahasia (keys), token, dan file konfigurasi pengembang.
Kebocoran 96 GB Data di Dark Web dan Clearnet
Dalam pembaruan terbarunya kemarin, Checkmarx mengonfirmasi bahwa data yang baru saja diterbitkan oleh kelompok LAPSUS$ di portal pemerasan mereka memang benar milik perusahaan dan berasal dari kompromi awal pada 23 Maret lalu.
“Berdasarkan bukti saat ini, kami meyakini data ini berasal dari repositori GitHub Checkmarx, dan bahwa akses ke repositori tersebut difasilitasi melalui serangan rantai pasokan awal pada 23 Maret 2026,” urai perusahaan setelah melakukan investigasi bersama firma forensik pihak ketiga terkemuka.
Meskipun Checkmarx dan sejumlah media awal melaporkan bahwa data ini hanya dibocorkan di web gelap (dark web), penelusuran lebih lanjut dari BleepingComputer menemukan fakta yang lebih mengkhawatirkan. LAPSUS$ rupanya juga telah menyediakan paket data curian sebesar 96 GB tersebut melalui portal clearnet (internet publik yang mudah diakses siapa saja).
Status Data Pelanggan Aman
Meskipun BleepingComputer belum memeriksa secara langsung seluruh konten data yang bocor, pihak Checkmarx memberikan jaminan bahwa data tersebut tidak mengandung informasi pelanggan. Hal ini dikarenakan perusahaan memiliki kebijakan ketat untuk tidak menyimpan data pelanggan di dalam repositori GitHub mereka.
Saat ini, investigasi forensik menyeluruh masih terus dilakukan untuk menentukan jenis data pasti apa saja yang telah terekspos ke publik. Perusahaan berjanji bahwa jika dalam prosesnya kelak ditemukan adanya informasi pelanggan di dalam data yang bocor, individu yang terdampak akan segera diberi tahu secara langsung.
Sebagai langkah mitigasi darurat, akses internal dan eksternal ke repositori GitHub yang terdampak telah diblokir total hingga investigasi selesai. Checkmarx memperkirakan akan dapat membagikan rincian lebih lanjut dan teknis mengenai insiden ini dalam 24 jam ke depan.
