Security

Rantai Pasok Maut Miasma: GitHub Sempat Bekukan 73 Repositori Microsoft yang Disusupi Malware Pencuri Sandi

2 hours ago
3 minutes read

Platform repositori kode raksasa, GitHub, mengambil tindakan darurat dengan membekukan secara massal 73 repositori milik Microsoft di bawah naungan organisasi Azure, microsoft, Azure-Samples, dan MicrosoftDocs. Langkah ekstrem ini terpaksa dilakukan setelah sistem mendeteksi adanya penyusupan konten berbahaya (potentially malicious content) berupa malware pencuri kata sandi (password-stealing malware).

Insiden keamanan yang terjadi pada 5 Juni 2026 ini berhasil diisolasi dan ditangani oleh tim pengaman dalam waktu sangat singkat, yaitu hanya 105 detik. Kendati penanganan berjalan kilat, hilangnya 73 repositori tersebut sempat memicu kekacauan global dan melumpuhkan jalur integrasi berkelanjutan (Continuous Integration / CI pipelines) milik ribuan pengembang di seluruh dunia.

1. Dampak Instan: Kelumpuhan Akses “Azure Functions-Action”

Penghapusan mendadak puluhan repositori ini memicu galat (error) berantai pada alur kerja (workflows) para pengembang pihak ketiga. Dampak paling masif dirasakan akibat hilangnya repositori Azure/functions-action.

[Developer CI/CD Workflow] โ”€โ”€โ–บ Memanggil Fungsi 'Azure/functions-action'
                                              โ”‚
                                              โ–ผ (Repositori Dihapus Masif oleh GitHub)
 [Jalur Pipa Pengecekan Putus]   โ”€โ”€โ–บ Target Tidak Ditemukan (404) โ”€โ”€โ–บ Sistem Outage & Gagal Build

Banyak perusahaan memanfaatkan fungsi GitHub Action tersebut untuk menggelar aplikasi Azure Functions mereka secara otomatis. Ketika repositori tersebut dibekukan, seluruh sistem otomatisasi pengecekan kode (build workflows) yang merujuk ke repositori tersebut langsung mogok kerja dan memicu outage massal karena sistem tidak menemukan kode otentikasi yang dicari.

Saat ini, Microsoft mengonfirmasi bahwa seluruh 73 repositori telah dipulihkan secara penuh, dibersihkan dari kode jahat, dan sudah dinyatakan aman untuk digunakan kembali oleh publik.

2. Kronologi Serangan Lompatan: Dari Red Hat Menuju Ekosistem Microsoft

Berdasarkan analisis dari firma manajemen rantai pasok software Cloudsmith serta pakar keamanan Adnan Khan, insiden ini merupakan kelanjutan dari kampanye malware Miasma / Shai-Hulud yang sangat agresif.

Peretas menggunakan teknik serangan melompat (pivoting) yang sangat rapi untuk menembus benteng pertahanan Microsoft:

  1. Pembajakan Akun Karyawan Red Hat: Peretas awalnya membobol akun GitHub milik salah satu karyawan Red Hat. Dari sana, mereka menyusupkan kode jahat ke sirkuit internal dan menginfeksi 32 paket npm di bawah ruang nama @redhat-cloud-services.
  2. Pencurian Token OIDC GitHub: Penyerang mendorong komit yatim piatu (orphan commits) yang tidak ditinjau ke repositori internal untuk menyuntikkan alur kerja minimal yang bertugas meminta Token OIDC (OpenID Connect) milik GitHub.
  3. Pembajakan Akun Azure/Durabletask: Berbekal token akses tersebut, peretas melompat untuk menguasai aset Microsoft di GitHub, termasuk repositori durabletask di dalam organisasi Azure. Platform OpenSourceMalware mencatat bahwa paket durabletask pada repositori Python Package Index (PyPI) bahkan sempat disusupi tiga versi tiruan berbahaya (versi 1.4.1, 1.4.2, dan 1.4.3).

3. Target Utama: Mengincar Alat Pembuat Kode Berbasis AI

Laporan teknis dari Cloudsmith mengungkap fakta mengkhawatirkan mengenai motif utama dari kampanye Miasma ini. Kelompok peretas sengaja mengincar infrastruktur raksasa teknologi karena mereka membidik alat bantu pemrograman berbasis kecerdasan buatan (AI Coding Tools) yang kini tengah diadopsi massal oleh para pengembang, seperti:

  • Claude Code
  • Gemini CLI
  • VS Code & Cursor
  • Pythagora-io/gpt-pilot (Alat pengembang AI open-source populer dengan 33.700+ bintang di GitHub yang dikonfirmasi oleh StepSecurity turut menjadi korban infeksi Shai-Hulud).

Dengan menyusupkan malware pencuri kata sandi ke dalam alat-alat AI tersebut, peretas berharap bisa menguras kredensial, token API, dan data rahasia dari komputer para pengembang yang memanfaatkan kecerdasan buatan untuk menulis kode.

Langkah Keselamatan bagi Pengembang Perangkat Lunak

Serangan beruntun yang menimpa platform sains PyPI, Red Hat, hingga Microsoft membuktikan bahwa ekosistem kode sumber terbuka (open-source) tengah menjadi medan perburuan utama aktor siber jahat.

Guna membentengi infrastruktur proyek Anda dari bahaya laten serangan rantai pasok, tim pengembang diwajibkan menerapkan protokol keselamatan berikut:

  • Kunci Dependensi Proyek (Lock Dependencies): Gunakan file pengunci versi seperti package-lock.json (npm) atau poetry.lock / requirements.txt dengan hash spesifik (Python) untuk memastikan sistem Anda tidak secara otomatis mengunduh pembaruan paket versi terbaru yang belum teruji keamanannya.
  • Terapkan Jeda Waktu Pembaruan (Time Delays): Berikan jeda waktu beberapa hari (misalnya 3-5 hari) sebelum mengadopsi atau menarik pembaruan versi paket yang baru dirilis ke internet, guna memberikan waktu bagi komunitas siber mengendus adanya potensi infeksi zero-day.
  • Uji Coba di Lingkungan Terisolasi: Selalu lakukan proses pembangunan aplikasi (build) dan pengujian otomatis di dalam lingkungan sasis sandbox atau kontainer terisolasi yang tidak memiliki akses langsung ke jaringan utama perusahaan atau data sensitif.

Sumber: Notifikasi Investigasi Keamanan Microsoft Azure / Laporan Rantai Pasok Cloudsmith & Socket / Analisis Forensik StepSecurity

Tags
2 hours ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button