Hanya berselang beberapa jam setelah memulai investigasi, GitHub secara resmi mengonfirmasi bahwa sekitar 3.800 repositori internal mereka sukses dibobol oleh peretas. Ironisnya, insiden keamanan skala besar pada anak perusahaan Microsoft ini dipicu oleh kelengahan internal, di mana salah satu karyawan GitHub menginstal ekstensi beracun (poisoned extension) pada aplikasi Visual Studio Code (VS Code) mereka.
Pihak GitHub bergerak cepat dengan menghapus ekstensi bersandarkan trojan (trojanized) tersebut dari panggung resmi VS Code Marketplace serta mengisolasi perangkat kerja karyawan yang menjadi titik masuk (ground zero) serangan.
Pernyataan Resmi Investigasi GitHub
Melalui pembaruan rilis insidennya, tim tanggap darurat GitHub memvalidasi bahwa klaim kuantitas data yang sempat dipamerkan oleh kelompok peretas di forum bawah tanah terhitung akurat:
“Kemarin kami mendeteksi dan melokalisasi kompromi pada perangkat karyawan yang melibatkan ekstensi VS Code beracun. Kami langsung menghapus versi ekstensi berbahaya tersebut, mengisolasi endpoint, dan memulai prosedur respons insiden seketika. Penilaian kami saat ini menunjukkan bahwa aktivitas penyerang hanya melibatkan eksfiltrasi repositori internal GitHub. Klaim penyerang mengenai pencurian ~3.800 repositori secara direksional konsisten dengan temuan investigasi kami sejauh ini.” — Tim Keamanan GitHub.
Pernyataan ini melengkapi klarifikasi sebelumnya kepada BleepingComputer, di mana GitHub memastikan bahwa ekosistem luar seperti data personal organisasi pelanggan, token korporat, maupun repositori publik milik pengguna di luar lingkaran internal tidak ikut terpapar oleh serangan ini.
Akar Masalah: Kerentanan Ekstensi VS Code Marketplace
Kasus yang menimpa insinyur GitHub ini menyingkap kembali fakta kelam mengenai lemahnya sistem kurasi pada VS Code Marketplace (toko resmi add-on untuk editor kode milik Microsoft). Ini bukan pertama kalinya ekstensi trojan berhasil menyusup dan menginfeksi para pengembang:
- Tahun Lalu: Ekstensi dengan akumulasi 9 juta unduhan terpaksa ditarik massal karena risiko keamanan, disusul 10 ekstensi alat pengembangan palsu yang kedapatan menanamkan malware XMRig cryptominer.
- Kasus Geng WhiteCobra: Aktor ancaman ini sempat membanjiri marketplace dengan 24 ekstensi pencuri kripto, termasuk satu ekstensi yang membawa kemampuan ransomware skala dasar.
- Januari 2026 (Asisten AI Palsu): Dua ekstensi yang menyamar sebagai asisten pengkodean berbasis AI sukses meraup 1,5 juta unduhan sebelum akhirnya ketahuan melakukan eksfiltrasi data pengembang secara diam-diam ke server yang berlokasi di China.
Sifat dari ekstensi VS Code yang berjalan dengan hak akses penuh ke sistem lokal penulisan kode membuatnya menjadi senjata yang sangat mematikan bagi kelompok kriminal siber untuk memanen kredensial berharga (developer credentials).
Geng “TeamPCP” Bersiap Bocorkan Data Secara Gratis
Seperti yang dilaporkan sebelumnya, kelompok peretas TeamPCP telah mengunggah pengumuman penjualan data ini di Breached cybercrime forum. Mereka menegaskan tidak berniat melakukan pemerasan langsung (ransom extortion) kepada pihak GitHub atau Microsoft, melainkan mencari pembeli tunggal yang bersedia menebus berkas kode sumber tersebut minimal seharga $50.000 (sekitar Rp795 juta).
TeamPCP mengancam, jika dalam waktu dekat tidak ada pihak yang bersedia membeli paket data tersebut, mereka akan membocorkan seluruh 3.800 repositori internal GitHub tersebut secara gratis ke publik sebagai penutup kampanye mereka sebelum “pensiun”.
Sebelum membobol GitHub, TeamPCP tercatat telah meluncurkan rentetan serangan rantai pasok (supply chain attacks) yang merusak reputasi platform pengembang global, termasuk manipulasi citra kontainer di Docker, pembajakan pustaka Python LiteLLM via pemindai Trivy, serta kampanye Mini Shai-Hulud yang sukses mengompromikan perangkat milik dua karyawan OpenAI belum lama ini.