GitHub konfirmasi 3.800 repositori diretas melalui ekstensi VSCode berbahaya

 (bleepingcomputer.com)
1 poin oleh GN⁺ 2 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Sekitar 3.800 repositori internal GitHub diretas setelah seorang karyawan memasang ekstensi VS Code berbahaya, dan penilaian saat ini membatasi cakupan kebocoran pada repositori internal
  • GitHub telah menghapus ekstensi yang disusupi trojan itu dari VS Code Marketplace dan mengisolasi endpoint yang terinfeksi, serta segera memulai respons insiden
  • TeamPCP mengklaim telah mengakses kode sumber GitHub dan sekitar 4.000 repositori kode privat, serta menuntut sedikitnya $50.000 untuk data yang dicuri
  • Ekstensi VS Code adalah plugin yang dipasang dari toko resmi, tetapi sebelumnya juga pernah ditemukan ekstensi dengan fungsi pencurian kredensial, penambang kripto, ransomware, dan pencurian aset kripto
  • GitHub menyatakan tidak ada bukti pelanggaran data pelanggan di luar repositori yang terdampak, dan platform ini digunakan oleh lebih dari 180 juta pengembang

Konfirmasi pelanggaran GitHub dan responsnya

  • GitHub mengonfirmasi bahwa sekitar 3.800 repositori internal diretas setelah seorang karyawan memasang ekstensi VS Code berbahaya
  • Ekstensi yang disusupi trojan dan namanya tidak diungkap telah dihapus dari VS Code Marketplace, dan perangkat yang terdampak telah diamankan
  • Dalam posting di X, GitHub menyatakan bahwa mereka “mendeteksi dan memblokir kompromi pada perangkat karyawan yang terkait dengan ekstensi VS Code yang terkontaminasi,” serta mengumumkan penghapusan versi ekstensi berbahaya, isolasi endpoint, dan dimulainya respons insiden secara segera
  • Penilaian saat ini menyatakan bahwa cakupan aktivitas terbatas pada kebocoran repositori internal GitHub, dan skala sekitar 3.800 repositori yang diklaim penyerang secara umum sejalan dengan hasil investigasi
  • Sehari sebelumnya, GitHub mengatakan kepada BleepingComputer bahwa mereka sedang menyelidiki klaim akses tidak sah ke repositori internal, dan menambahkan bahwa tidak ada bukti data pelanggan yang disimpan di luar repositori yang terdampak ikut diretas

Klaim TeamPCP dan risiko ekstensi VS Code

  • Kelompok peretas TeamPCP mengklaim di forum kejahatan siber Breached bahwa mereka telah mengakses kode sumber GitHub dan “sekitar 4.000 repositori kode privat,” serta meminta sedikitnya $50.000 untuk data yang dicuri
  • TeamPCP mengatakan bahwa ini “bukan ransomware dan tidak tertarik memeras GitHub,” serta menyatakan akan menghapus data yang dimiliki setelah menjualnya kepada satu pembeli
  • TeamPCP diketahui terkait dengan serangan supply chain skala besar yang menargetkan platform kode pengembang, termasuk GitHub, PyPI, NPM, dan Docker
  • TeamPCP juga dikaitkan dengan kampanye supply chain “Mini Shai-Hulud” yang baru-baru ini juga berdampak pada dua karyawan OpenAI
  • Ekstensi VS Code adalah plugin yang dipasang dari toko resmi VS Code Marketplace untuk menambahkan fitur atau mengintegrasikan alat ke editor kode Microsoft
  • Di VS Code Marketplace, ekstensi berbahaya yang mencuri kredensial pengembang dan data sensitif juga berulang kali ditemukan di masa lalu
  • Tahun lalu, ekstensi VSCode dengan total 9 juta pemasangan dihapus karena risiko keamanan, dan 10 ekstensi yang menyamar sebagai alat pengembang sah menginfeksi pengguna dengan penambang kripto XMRig
  • Setelah itu, ekstensi berbahaya dengan fungsi ransomware dasar sempat muncul di VS Code Marketplace, dan pelaku ancaman bernama WhiteCobra mendaftarkan 24 ekstensi pencuri kripto
  • Pada Januari tahun ini, dua ekstensi berbahaya dengan total 1,5 juta pemasangan yang dipromosikan sebagai asisten coding berbasis AI membocorkan data ke server di China dari sistem pengembang yang terinfeksi
  • Platform cloud GitHub saat ini digunakan oleh lebih dari 4 juta organisasi, 90% perusahaan Fortune 100, dan lebih dari 180 juta pengembang, yang berkontribusi ke lebih dari 420 juta repositori kode

Bacaan terkait

1 komentar

 
GN⁺ 2 jam lalu
Opini Hacker News

  • Akan bagus kalau perusahaan yang membuat VSCode, perusahaan yang punya NPM, dan perusahaan yang punya GitHub bisa duduk bersama dan menemukan solusi untuk masalah ini

    • Ini dengan sempurna menunjukkan kenapa komik bagan organisasi Microsoft itu akurat

      https://bonkersworld.net/organizational-charts

    • Jelas bukan karena kurang peringatan tentang risiko yang sudah sangat jelas ini

      https://github.com/microsoft/vscode/issues/52116

    • Microsoft juga perusahaan yang punya NuGet

      Kalau melihat apa yang mereka lakukan setahun lalu, mereka secara proaktif menghapus sekitar 700 paket dari NuGet, yang pada akhirnya ternyata false positive
      Melakukan hal yang benar memang tidak mudah

    • Ini bukan bercanda, ekosistem seperti ini pada dasarnya memang dirancang seperti tong sampah yang mudah ditembus
      Kalau ekosistemnya sepenuhnya terbuka dan kontribusinya tidak ditinjau dengan ketat, semuanya akan terkena masalah seperti ini
      Kalau tidak suka, jangan pakai ekstensi editor, pakai editor yang benar-benar sudah diaudit

      Memakai ekstensi, paket node, atau paket PyPI tanpa meninjaunya dengan saksama berarti sedang menumpuk utang teknis
      Itu artinya menerima risiko demi rilis cepat, lalu nanti harus membayarnya kembali dengan cara yang terkontrol atau menanggungnya saat bunganya datang

  • Ekstensi VS Code sudah lama terasa menakutkan, dan merupakan jalur serangan yang terlalu jelas
    VSCode terus menampilkan popup yang menyuruh memasang ekstensi karena katanya mengenali format file tertentu, dan peluangnya 50:50 apakah ekstensi itu milik perusahaan resmi atau milik pengembang acak
    Bahkan di antara ekstensi dengan jutaan instalasi, ada yang saat pertama dilihat tampak seperti ekstensi resmi perusahaan
    Sekarang saya berusaha hanya memasang ekstensi resmi milik perusahaan, tapi bahkan itu pun rasanya sulit untuk yakin saya tidak sedang tertipu

    • Masalah ini jauh melampaui VS Code
      Semua ekstensi dan kode yang dapat dijalankan punya masalah yang sama
      Disney juga pernah diretas karena seorang karyawan memasang mod BeamNG berisi malware

      Perusahaan yang serius menjaga keamanan harus memberi pembatasan ketat pada pemasangan perangkat lunak
      Misalnya hanya mengizinkan pemasangan paket npm dan plugin dari repositori yang sudah disetujui sebelumnya secara internal

    • Saya tetap memakai Sublime sambil sesekali ditertawakan orang-orang yang kecanduan VSCode
      Menyenangkan melihat orang-orang yang tanpa kritik percaya bahwa “VSCode itu sempurna” kena masalah seperti ini

    • Saya juga jadi sama paranoidnya soal ekstensi VSCode
      Saya masih ingat dulu cukup memakai beberapa ekstensi tepercaya untuk pengembangan di IDE seperti Brackets, JetBrains, Sublime Text, dan Bluefish
      Sekarang rasanya apa pun yang ingin dilakukan, selalu ada seseorang atau perusahaan yang membuat ekstensi khusus untuk tugas itu

      Sekarang saya berusaha melakukan sebanyak mungkin hal dengan ekstensi seminimal mungkin
      Dan saya juga ingin memindahkan sisa kode saya keluar dari GitHub

    • Untuk vendor yang pernah merasa ide bagus mengambil screenshot desktop setiap beberapa detik, menjalankan OCR, lalu menyimpan hasilnya ke disk dalam plain text tanpa enkripsi, tingkat keamanan perangkat lunak seperti ini ya cukup bisa diduga

    • Dan lagi, semua ekstensi itu juga ingin update otomatis

  • Yang lebih mengejutkan, para peretas berhasil menemukan waktu aktif yang cukup lama untuk melakukan ini

    • Buat yang tidak menangkap leluconnya, GitHub sejak diakuisisi Microsoft makin kesulitan menjalankan dirinya sendiri secara stabil

      Belakangan downtime makin sering, makin parah, dan bahkan jadi berita

  • Thread terkait sebelumnya:

    GitHub is investigating unauthorized access to their internal repositories - https://news.ycombinator.com/item?id=48201316 - Mei 2026, 321 komentar

  • Saya penasaran apakah ekstensi nx console yang bikin saya kena kemarin itu termasuk yang dikompromikan
    Waktunya terlihat nyaris sama persis
    Lihat https://github.com/nrwl/nx-console/security/advisories/GHSA-...

  • Saya berharap gara-gara kejadian ini Microsoft menambahkan sistem izin yang eksplisit untuk ekstensi VS Code, dan juga memperbaiki keamanan dev container

    • Saya justru berharap ini menjadi dorongan bagi pengguna, dalam hal ini para developer dan maintainer, untuk mengurangi ketergantungan pada Microsoft dan terutama berhenti menyerahkan keamanan ke Microsoft

      Sekarang saatnya meninggalkan vscode

    • Saya tidak terlalu berharap banyak
      Isu ini sudah terbuka sejak 2018: https://github.com/microsoft/vscode/issues/52116

  • VS Code dibangun di atas Electron, dan Electron punya atau pernah punya helper sandbox SUID, jadi sandboxing itu rumit
    Karena tidak mudah menjalankan biner SUID dari dalam sandbox
    Sandboxing di Linux adalah pekerjaan yang sangat sulit

    • Rasanya sangat tidak nyaman melihat pesan seperti “agar sandbox berfungsi, Chrome harus diberi SUID Root
      Menyetel SUID Root pada browser web dulu adalah lelucon untuk mengerjai pengguna yang tidak paham, sekaligus kesalahan keamanan terburuk yang bisa dibayangkan
    • Kalau begitu, jangan bangun IDE di atas Electron
    • podman tampaknya cukup baik menangani namespace tanpa root
      Memang ada sedikit overhead performa, tapi bukan akhir dunia

  • Mungkin saya melewatkan sesuatu yang terlalu jelas, tapi angka 3.800 repositori tetap mengejutkan
    Saya tidak menyangka sebanyak itu

    • Seperti kata orang lain, itu cuma sebagian saja
      Saya bekerja di perusahaan teknologi ukuran menengah, dan ada lebih dari 7.500 repositori dalam satu organisasi GitHub
      Karena organisasinya ada dua, totalnya dengan mudah melewati 10.000
      Tentu saja kebanyakan sudah lama, ditinggalkan, sandbox, atau alat pribadi
      Kalau GitHub punya 100.000+ repositori internal, atau bahkan lebih, saya tidak akan terkejut

    • Saya pernah bekerja di perusahaan yang punya setidaknya 5.000 repositori tersebar di lima atau enam organisasi GitHub, dan lebih banyak lagi kode di Perforce

      Memang ada eksperimen lama juga, tapi perusahaan itu terlibat di banyak bidang, dan beberapa divisi tidak keberatan membuat layanan lain hanya untuk menyelesaikan satu masalah

      Barang lama di divisi saya jelas kami arsipkan
      Kami punya 8 repositori, dan untuk tiga orang itu sudah terasa lebih dari cukup

    • Uber pernah punya 8.000 repositori untuk 2.000 engineer - https://highscalability.com/lessons-learned-from-scaling-ube...

    • Saya pernah bekerja di peritel makanan
      Pada hari pertama, saya pikir dari luar itu hanya terlihat seperti situs web sederhana, jadi seberapa rumit sih
      Ternyata situs pemesanan itu adalah gabungan dari lebih dari 300 repositori
      Itu masih lebih sedikit daripada yang hilang dari GitHub dalam insiden ini
      Semakin besar skalanya, semakin besar upaya yang dibutuhkan untuk menjaga semuanya tetap sederhana

    • Salah satu hal yang selalu saya sukai saat bekerja di GitHub adalah begitu banyak bagian perusahaan yang benar-benar berjalan di atas GitHub
      Bahkan tim nonteknis pun sering punya repositori sendiri untuk mengelola dokumen/SOP/desain, sebagaimana perusahaan kerja pengetahuan tradisional memakai SharePoint

  • Ada banyak cara untuk membuat sesuatu menjadi open source

    • Kalau ingin jadi whistleblower atau membocorkan informasi privat, ini bisa jadi cara yang cukup bagus
      Jangan menjalankan skrip terang-terangan dengan akun pengguna sendiri; cukup unggah anonim lewat plugin yang sekaligus melakukan scraping dan punya fitur tak berguna
      Misalnya fitur yang memberi tahu apakah suatu bilangan floating-point itu genap
      Tentu saja bilangan seperti itu tidak ada
      Lalu jalankan saja dan berpura-pura jadi korban

  • “Kemarin kami mendeteksi dan memblokir kompromi perangkat milik karyawan yang terkait dengan ekstensi VS Code yang tercemar. Kami menghapus versi ekstensi berbahaya, mengisolasi endpoint, dan segera memulai respons insiden”

    Wah hebat, mereka menghapus ekstensinya
    Jadi itu baru dilakukan setelah karyawannya terinfeksi?
    Dan kenapa mereka tidak menyebut nama ekstensinya?