GitHub Ungkap Nama Ekstensi VS Code Pemicu Kebocoran 3.800 Repositori: Imbas Serangan Rantai Pasok “Nx Console”

1 minute ago

2 minutes read

Pihak GitHub akhirnya membongkar rincian teknis mendalam mengenai insiden kebocoran 3.800 repositori internal mereka. Dalam laporan resmi terbaru yang dirilis oleh CISO GitHub, Alexis Wales, dikonfirmasi bahwa pintu masuk penyerang bersumber dari instalasi versi berbahaya dari Nx Console, sebuah ekstensi resmi Visual Studio Code (VS Code Marketplace) yang sangat populer untuk mengelola repositori skala besar dan basis kode multi-proyek (monorepos).

Insiden ini secara resmi menghubungkan mata rantai serangan langsung ke jaringan kampanye malware “Mini Shai-Hulud” yang diarsiteki oleh kelompok kriminal siber TeamPCP. Aksi ini memanfaatkan token kredensial hasil jarahan dari serangan rantai pasok (supply chain attack) pada manajer paket npm TanStack minggu lalu.

Mekanisme Efek Domino: Dari TanStack ke Nx Console hingga Jantung GitHub

Laporan forensik memperlihatkan bagaimana TeamPCP memanfaatkan efek domino yang sangat rapi untuk meruntuhkan pertahanan tiga platform raksasa sekaligus:

[ Serangan Hulu: Paket npm TanStack Diinfeksi TeamPCP ]
                         │
                         ▼
[ Akun Developer Nx Console Kompromi via Kebocoran Kredensial GitHub CLI ]
                         │
                         ▼
[ Peretas Ambil Alih CI/CD & Rilis Ekstensi Beracun "Nx Console v18.95.0" ]
                         │
                         ▼
[ Karyawan GitHub Menginstal Ekstensi Terinfeksi di Mesin Lokal ]
                         │
                         ▼
[ Token GitHub Workflow Terkuras Massal, 3.800 Repositori Internal Jebol ]

Tim pengembang Nx mengungkapkan bahwa salah satu pengembang internal mereka menjadi korban infeksi paket TanStack yang beracun di mesin pribadinya. Malware tersebut memanen kredensial pengembang yang tersimpan di dalam GitHub CLI (gh). Berbekal token curian tersebut, TeamPCP masuk sebagai kontributor sah ke repositori GitHub milik Nx, membajak alur kerja CI/CD, lalu merilis versi palsu Nx Console 18.95.0 langsung ke toko aplikasi resmi.

Durasi Infeksi Kilat di Toko Ekstensi Resmi

Meskipun dampaknya sangat merusak, versi berbahaya dari ekstensi Nx Console ini sebenarnya hanya beredar dalam jendela waktu yang sangat singkat sebelum akhirnya dideteksi dan dicabut massal oleh tim keamanan Microsoft:

VS Code Marketplace (Microsoft): Hanya tersedia selama 18 menit dengan total unduhan organik yang sangat rendah, yaitu 28 kali.
OpenVSX Marketplace (Open-Source Alternative): Tersedia selama 36 menit dengan total unduhan sebanyak 41 kali.

Sialnya, salah satu dari 28 orang pengembang global yang mengunduh ekstensi beracun dalam jendela waktu 18 menit tersebut adalah insinyur perangkat lunak dari GitHub. Begitu terpasang di perangkat lokal karyawan tersebut, payload jahat di dalam Nx Console langsung mengeksekusi misi spionase: menguras tumpukan token akses berharga mulai dari akun npm, AWS, Kubernetes, GCP/Docker, hingga token rahasia GitHub workflow.

Pihak Nx menambahkan bahwa meskipun angka unduhan murninya sangat kecil, analisis telemetri mereka mencatatkan adanya sekitar 6.000 aktivasi ekstensi dari aplikasi VS Code dalam dua hari pasca-serangan (sementara varian fork seperti Cursor editor mencatatkan angka nol aktivasi).

Langkah Penanggulangan Darurat GitHub

CISO GitHub menegaskan bahwa pihaknya telah mengisolasi total perangkat endpoint milik karyawan yang menjadi sumber kebocoran dan memastikan kode-kode di luar repositori internal tetap aman dari penjarahan.

“Kami telah merotasi rahasia-rahasia kritikal (critical secrets rotation) sejak hari Senin hingga Selasa kemarin, dengan memprioritaskan kredensial yang memiliki dampak dampak tertinggi terlebih dahulu. Kami terus melakukan analisis log secara mendalam, memvalidasi hasil rotasi token, serta memantau infrastruktur kami dari potensi aktivitas lanjutan (follow-on activity).” — Alexis Wales, CISO GitHub.

Hingga saat ini, paket data 3.800 repositori internal tersebut masih dipajang oleh geng TeamPCP di forum ilegal Breached Forum dengan label harga minimal $50.000 (sekitar Rp795 juta). Kegagalan mitigasi rotasi token yang cepat juga sempat memicu jatuhnya sistem repositori privat milik platform analitik data Grafana Labs ke tangan kelompok peretas yang sama hanya berselang beberapa jam kemudian.

GitHub Ungkap Nama Ekstensi VS Code Pemicu Kebocoran 3.800 Repositori: Imbas Serangan Rantai Pasok “Nx Console”

Mekanisme Efek Domino: Dari TanStack ke Nx Console hingga Jantung GitHub

Durasi Infeksi Kilat di Toko Ekstensi Resmi

Langkah Penanggulangan Darurat GitHub

Read Next

Lalai Rotasi Satu Token Setelah Serangan TanStack, Hacker TeamPCP Bobol Repositori Internal Grafana

Drupal Umumkan Pembaruan Keamanan Kritis: Celah Berisiko Tinggi, Eksploitasi Diprediksi Muncul dalam Hitungan Jam

Celah Keamanan “PinTheft” Intai Arch Linux: Eksploitasi PoC Dirilis, Izinkan Akses Root via Kerusakan Memori RDS

GitHub Konfirmasi Kebocoran 3.800 Repositori Internal, Dipicu oleh Ekstensi Malicious VS Code yang Diinstal Karyawan

Microsoft Bagikan Panduan Mitigasi untuk Celah Keamanan Zero-Day Windows “YellowKey” yang Mampu Membuka Enkripsi BitLocker

GitHub Investigasi Kebocoran Kode Inti: Kelompok Hacker “TeamPCP” Klaim Bobol 4.000 Repositori Internal