GitHub Selidiki Klaim Peretasan 4.000 Repositori Internal oleh TeamPCP

GitHub sedang melakukan penyelidikan mendalam terkait akses tidak sah ke repositori internalnya setelah kelompok peretas yang dikenal dengan nama TeamPCP mengklaim memiliki dan menawarkan kode sumber serta organisasi internal GitHub untuk dijual di forum kejahatan siber.

Pernyataan resmi dari GitHub, yang merupakan anak perusahaan Microsoft, menyatakan bahwa hingga saat ini belum ditemukan bukti dampak terhadap informasi pelanggan di luar repositori internal GitHub seperti data perusahaan, organisasi, dan repositori pelanggan mereka. Namun, mereka tetap memantau infrastruktur secara intensif demi mendeteksi aktivitas mencurigakan yang mungkin terjadi.

"Kami akan memberitahu pelanggan melalui jalur penanganan insiden dan notifikasi resmi bila ditemukan dampak yang berhubungan dengan insiden ini," ujar GitHub.

TeamPCP Tawarkan Kode Sumber GitHub Senilai $50.000

Insiden ini terungkap setelah TeamPCP, yang dikenal sebagai pelaku serangan rantai pasokan perangkat lunak dan telah melakukan sejumlah serangan terhadap paket sumber terbuka, mengumumkan penjualan kode sumber GitHub dengan harga minimal 50.000 dolar AS. Dalam tawaran tersebut, disebutkan bahwa data yang bocor meliputi sekitar 4.000 repositori internal GitHub.

"Seperti biasa, ini bukan permintaan tebusan," kata TeamPCP dalam sebuah posting, menurut tangkapan layar yang dibagikan oleh Dark Web Informer. "Kami tidak berniat memeras GitHub, cukup satu pembeli dan kami akan menghapus data tersebut. Tampaknya kami segera pensiun, jadi jika tidak ada pembeli, kami akan membocorkan data ini secara gratis."

Penyebaran Malware Mini Shai-Hulud dan Kompromi Paket durabletask PyPI

Berita penjualan kode ini muncul bersamaan dengan kampanye malware self-replicating dari TeamPCP, yang dinamakan Mini Shai-Hulud. Malware ini telah menyebar luas dengan kompromi terhadap paket durabletask, sebuah klien Python resmi dari Microsoft untuk kerangka kerja Durable Task. Tiga versi paket berbahaya yang teridentifikasi adalah 1.4.1, 1.4.2, dan 1.4.3.

"Pelaku menyerang sebuah akun GitHub melalui serangan sebelumnya, mengambil rahasia dari repositori yang dapat diakses, dan dari situ memperoleh token PyPi untuk menerbitkan paket berbahaya secara langsung," jelas Wiz, perusahaan keamanan yang dimiliki Google.

Paket berbahaya ini mengandung dropper yang mengunduh dan menjalankan payload tahap kedua bernama rope.pyz dari server eksternal check.git-service[.]com. Malware ini merupakan evolusi dari payload yang sebelumnya digunakan dalam kompromi paket guardrails-ai.

Fungsi utama malware ini adalah sebagai infostealer yang mampu mencuri kredensial penting, termasuk akun penyedia layanan cloud besar, pengelola kata sandi, dan alat pengembang, serta mengirimkan data tersebut ke domain yang dikontrol penyerang. Malware ini hanya aktif pada sistem operasi Linux.

Berdasarkan temuan SafeDep, stealer Python berukuran 28KB ini juga berusaha membaca rahasia HashiCorp Vault KV, membuka dan mengekspor data dari 1Password dan Bitwarden, serta mengakses kunci SSH, kredensial Docker, konfigurasi VPN, dan riwayat shell.

"Jika mesin berada di lingkungan AWS, malware ini menyebar ke instance EC2 lain menggunakan SSM. Jika di Kubernetes, ia menyebar melalui perintah kubectl exec," kata Aikido Security. "Jika mendeteksi pengaturan sistem dari Israel atau Iran, ada peluang 1 dari 6 untuk memutar audio dan menjalankan perintah rm -rf /*."

Menurut StepSecurity, malware menggunakan perintah SendCommand dengan dokumen AWS-RunShellScript untuk menjalankan payload rope.pyz pada hingga lima instance EC2 lain per profil. Script penyebaran mengunduh payload dari domain C2 utama dan beralih ke domain sekunder t.m-kosche[.]com jika domain utama tidak dapat dijangkau.

Salah satu teknik canggih yang digunakan adalah mekanisme FIRESCALE untuk menemukan alamat backup command-and-control (C2) dengan cara mencari pola "FIRESCALE <base64_url>.<base64_signature>" di pesan commit publik GitHub, lalu mengekstrak informasi C2. Teknik ini sebelumnya diungkap oleh Hunt.io.

Karena worm ini menyebar menggunakan token yang dicuri dari lingkungan yang terinfeksi, jumlah paket yang terpengaruh diperkirakan akan terus bertambah. Oleh karena itu, semua mesin atau pipeline yang menginstal versi paket terinfeksi harus dianggap sepenuhnya terkompromi.

"Paket ini diunduh sekitar 417.000 kali per bulan, dan kode berbahaya berjalan otomatis saat paket diimpor, tanpa pesan kesalahan atau tanda-tanda kompromi yang terlihat," kata peneliti Endor Labs, Peyton Kennedy.

Analisis Redaksi

Menurut pandangan redaksi, insiden ini menegaskan bahwa meskipun GitHub adalah platform utama bagi komunitas pengembang global, kerentanan serius tetap bisa dieksploitasi oleh aktor jahat yang memiliki kemampuan tinggi seperti TeamPCP. Leak kode sumber internal GitHub bukan hanya masalah reputasi, tapi juga potensi risiko keamanan yang luas terutama jika informasi sensitif atau rahasia teknologi bocor ke pihak tidak bertanggung jawab.

Kampanye malware Mini Shai-Hulud memperlihatkan betapa kompleks dan canggihnya serangan rantai pasokan perangkat lunak saat ini, yang tidak hanya menargetkan pengguna akhir, tapi juga infrastruktur pengembang. Penyebaran malware melalui paket resmi seperti durabletask menunjukkan betapa pentingnya kontrol keamanan berlapis dan audit berkelanjutan pada seluruh ekosistem perangkat lunak terbuka.

Ke depan, kita harus mengamati bagaimana GitHub dan Microsoft meningkatkan proteksi serta transparansi dalam menghadapi serangan semacam ini. Pengguna dan organisasi juga harus meningkatkan kewaspadaan dan menerapkan strategi keamanan yang lebih ketat demi melindungi aset digital dan rantai pasokan perangkat lunak mereka. Untuk perkembangan terbaru, pembaca dapat mengikuti informasi resmi dan analisis mendalam melalui sumber terpercaya seperti The Hacker News dan media teknologi terkemuka lainnya.