Serangan Rantai Pasokan GitHub Actions: Tag Dialihkan untuk Mencuri Kredensial CI/CD

Dalam serangan rantai pasokan perangkat lunak terbaru, para pelaku ancaman berhasil mengompromikan workflow GitHub Actions populer bernama actions-cool/issues-helper dengan menyisipkan kode berbahaya yang berfungsi untuk mencuri kredensial sensitif dan mengirimkannya ke server yang dikendalikan penyerang.

Varun Sharma, peneliti dari StepSecurity, menjelaskan,

"Setiap tag yang ada di repositori tersebut telah dialihkan ke commit palsu yang tidak terdapat dalam riwayat commit normal action ini. Commit tersebut berisi kode berbahaya yang mengeksfiltrasi kredensial dari pipeline CI/CD yang menjalankan action tersebut."

Strategi Commit Palsu dalam Serangan Rantai Pasokan

Commit palsu adalah teknik serangan rantai pasokan yang menipu dengan cara menyisipkan kode berbahaya ke dalam proyek melalui referensi commit atau tag yang hanya ada pada fork yang dikontrol penyerang, bukan pada repositori asli yang terpercaya. Dengan cara ini, pelaku dapat melewati mekanisme review Pull Request (PR) standar dan memperoleh eksekusi kode tanpa batas.

Berdasarkan investigasi StepSecurity, commit palsu tersebut menjalankan serangkaian aksi berbahaya ketika dieksekusi di dalam runner GitHub Actions, yaitu:

• Mengunduh runtime JavaScript Bun ke runner.
• Membaca memori dari proses Runner.Worker untuk mengekstrak kredensial.
• Mengirimkan data yang dicuri melalui panggilan HTTPS keluar ke domain yang dikendalikan penyerang (t.m-kosche[.]com).

Tag Lain yang Terkena Dampak dan Tindakan GitHub

Tidak hanya itu, StepSecurity mengungkapkan bahwa 15 tag pada GitHub Action lain, yaitu actions-cool/maintain-one-comment, juga telah dikompromikan dengan modus serupa yang mengandung fungsi pencurian data tersebut.

Menanggapi kejadian ini, GitHub telah menonaktifkan akses ke repositori tersebut dengan alasan "pelanggaran terhadap ketentuan layanan GitHub". Hingga saat ini, tidak jelas apa pemicu pasti keputusan tersebut dari anak perusahaan Microsoft ini.

Keterkaitan dengan Kampanye Mini Shai-Hulud dan Dampaknya

Menariknya, domain eksfiltrasi t.m-kosche[.]com yang digunakan dalam serangan ini juga pernah teramati dalam gelombang terbaru kampanye Mini Shai-Hulud yang menargetkan paket npm dari ekosistem @antv. Hal ini menunjukkan kemungkinan adanya hubungan antara dua klaster aktivitas berbahaya tersebut.

StepSecurity menegaskan,

"Karena setiap tag sekarang mengarah ke commit berbahaya, setiap workflow yang merujuk action tersebut berdasarkan versi tag otomatis akan menjalankan kode berbahaya pada eksekusi berikutnya. Hanya workflow yang menggunakan pin pada commit SHA yang sudah terverifikasi aman yang tidak akan terdampak."

Langkah Pencegahan dan Implikasi Keamanan

Kasus ini menggarisbawahi risiko serius yang dihadapi oleh pengembang dan organisasi dalam menggunakan dependensi pihak ketiga di pipeline CI/CD mereka. Berikut beberapa hal yang perlu diperhatikan:

1. Selalu pin workflow ke commit SHA yang terpercaya untuk menghindari eksekusi kode berbahaya akibat modifikasi tag.
2. Waspadai aktivitas tak biasa pada pipeline CI/CD seperti permintaan jaringan ke domain yang tidak dikenal.
3. Perkuat pengawasan dan audit keamanan terhadap repositori dan dependensi yang digunakan.
4. Lakukan pembaruan rutin dan gunakan tools keamanan otomatis untuk deteksi ancaman rantai pasokan.

Analisis Redaksi

Menurut pandangan redaksi, serangan ini bukan hanya sekadar insiden keamanan biasa, melainkan peringatan keras akan kerentanan mendalam dalam ekosistem pengembangan perangkat lunak modern yang sangat bergantung pada integrasi otomatis dan paket dari pihak ketiga. Supply chain attack seperti ini memperlihatkan bagaimana satu titik lemah di repositori populer dapat berimbas luas ke banyak proyek dan organisasi, bahkan bisa mengakibatkan kebocoran kredensial yang sangat sensitif.

Lebih jauh, keterkaitan dengan kampanye Mini Shai-Hulud menandakan bahwa kelompok penyerang semakin canggih dan terorganisasi, menggunakan infrastruktur yang sama untuk berbagai target. Ini mengindikasikan bahwa serangan semacam ini kemungkinan akan terus berlanjut dan bahkan meningkat dalam skala dan kompleksitasnya.

Pengguna GitHub dan pengembang CI/CD harus segera meninjau kembali kebijakan keamanan mereka, khususnya dalam mengelola versi action dan dependensi. Mengandalkan tag versi tanpa verifikasi commit SHA kini terbukti sangat berisiko. Ke depan, kolaborasi erat antara platform seperti GitHub, komunitas keamanan, dan pengembang menjadi kunci utama untuk menekan ancaman serangan rantai pasokan.

Untuk pembaruan keamanan terbaru dan informasi lebih lanjut, Anda dapat mengikuti berita teknologi dan keamanan siber dari sumber terpercaya seperti The Hacker News serta portal berita teknologi terkemuka lainnya.