TeamPCP Retas GitHub Actions Checkmarx dengan Kredensial CI Curian

Kelompok peretas TeamPCP kembali melakukan aksi peretasan terhadap dua workflow GitHub Actions milik perusahaan keamanan rantai pasokan perangkat lunak, Checkmarx, menggunakan malware pencuri kredensial yang memanfaatkan kredensial Continuous Integration (CI) yang dicuri. Serangan ini terjadi setelah insiden pelanggaran keamanan yang dialami pada 19 Maret 2026, yang sebelumnya juga menargetkan pemindai kerentanan Trivy milik Aqua Security.

Kerentanan GitHub Actions Checkmarx yang Disusupi TeamPCP

Dua workflow yang terinfeksi adalah checkmarx/ast-github-action dan checkmarx/kics-github-action. Menurut perusahaan keamanan cloud Sysdig, malware pencuri kredensial yang sama digunakan pada serangan terhadap Trivy juga diaplikasikan dalam kompromi terbaru ini. Serangan Trivy sendiri terdaftar sebagai CVE-2026-33634 dengan skor CVSS 9.4, menandakan tingkat keparahan yang sangat tinggi.

"Ini menunjukkan bahwa kredensial yang dicuri dari insiden Trivy digunakan untuk memanipulasi aksi-aksi lainnya dalam repositori yang terdampak," kata Sysdig.

Malware yang dikenal sebagai "TeamPCP Cloud stealer" ini dirancang khusus untuk mencuri kredensial dan rahasia seperti kunci SSH, akses Git, layanan cloud AWS, Google Cloud, Microsoft Azure, konfigurasi Kubernetes, Docker, file .env, database, VPN, serta data dompet kripto, dan URL webhook Slack dan Discord, termasuk konfigurasi CI/CD.

Metode Serangan dan Eksfiltrasi Data

TeamPCP melakukan serangan dengan menyisipkan payload bernama "setup.sh" melalui commit berbahaya yang dipaksa untuk dipush menggunakan tag tertentu. Data yang dicuri dienkripsi dan dieksfiltrasi ke domain checkmarx[.]zone (IP: 83.142.209[.]11:443) dalam bentuk arsip terenkripsi bernama tpcp.tar.gz.

Selain itu, malware membuat repositori bernama "docs-tpcp" menggunakan token GitHub korban untuk menyimpan cadangan data yang dicuri jika proses eksfiltrasi utama gagal. Pada serangan Trivy sebelumnya, repositori bernama "tpcp-docs" digunakan sebagai jalur cadangan.

"Penggunaan domain typosquat yang spesifik untuk vendor dalam setiap aksi yang dipalsukan merupakan teknik penipuan yang disengaja," ujar Sysdig. "Hal ini menyulitkan deteksi manual karena lalu lintas curl tampak seperti mengarah ke domain vendor asli."

Dampak dan Potensi Rantai Serangan

Fungsi utama malware yang mencuri kredensial langsung dari memori runner CI memungkinkan pencurian token akses GitHub pribadi (PAT) dan rahasia lain saat aksi yang terinfeksi dijalankan. Jika token ini memiliki hak tulis pada repositori lain yang juga menggunakan aksi Checkmarx, peretas dapat menyisipkan kode berbahaya tambahan, membuka peluang kompromi rantai pasokan secara berantai.

Sysdig menegaskan, "Payload, skema enkripsi, dan nama file tpcp.tar.gz yang identik mengonfirmasi bahwa pelaku yang sama memperluas jangkauan serangan melewati kompromi Trivy awal. Kode berbahaya berhasil disisipkan karena pengawasan kode dan pemindaian dependensi gagal menangkapnya karena berasal dari sumber yang dipercaya."

Serangan Meluas Lewat Ekstensi dan Akun Layanan

Berdasarkan temuan Wiz, serangan ini berasal dari kompromi akun layanan "cx-plugins-releases". Pelaku juga menerbitkan versi trojan dari ekstensi Open VSX "ast-results" (versi 2.53.0) dan "cx-dev-assist" (versi 1.7.0). Namun, versi di Marketplace VS Code resmi tidak terpengaruh.

Setelah ekstensi tersebut diaktifkan, payload berbahaya memeriksa keberadaan kredensial untuk layanan cloud seperti GitHub, AWS, Google Cloud, dan Microsoft Azure. Jika ditemukan, payload akan mengunduh tahap berikutnya dari domain checkmarx[.]zone. Eksekusi dilakukan melalui berbagai package manager JavaScript seperti npx, bunx, pnpx, atau yarn dlx.

"Paket yang diunduh mencakup pencuri kredensial lengkap yang kemudian mengenkripsi data dan mengekfiltrasi ke 'checkmarx[.]zone/vsx' dalam arsip tpcp.tar.gz," jelas para peneliti Wiz, Rami McCarthy, James Haughom, dan Benjamin Read.

Di sistem non-CI, malware memasang layanan systemd untuk menjaga persistensi, melakukan polling ke https://checkmarx[.]zone/raw setiap 50 menit untuk menunggu instruksi atau payload tambahan, dan memiliki kill switch yang menghentikan aktivitas bila respon mengandung kata "youtube".

Langkah Mitigasi yang Disarankan

Untuk mengurangi risiko, pengguna dan organisasi disarankan melakukan tindakan berikut dengan segera:

• Rotasi semua rahasia, token, dan kredensial cloud yang dapat diakses oleh runner CI selama periode serangan.
• Audit riwayat workflow GitHub Actions untuk menemukan referensi ke tpcp.tar.gz, scan.aquasecurity[.]org, atau checkmarx[.]zone dalam log runner.
• Periksa apakah terdapat repositori "tpcp-docs" atau "docs-tpcp" di organisasi GitHub sebagai indikator eksfiltrasi data cadangan.
• Kunci penggunaan GitHub Actions pada commit SHA penuh, bukan tag versi yang dapat dipush ulang.
• Pantau koneksi jaringan keluar dari runner CI ke domain mencurigakan.
• Batasi akses Instance Metadata Service (IMDS) pada container runner CI menggunakan IMDSv2.

Ekspansi Serangan dan Modus Operandi Baru

Setelah pelanggaran awal, TeamPCP juga mendorong gambar Docker Trivy berbahaya yang mengandung pencuri kredensial serupa dan menguasai organisasi GitHub "aquasec-com" untuk memanipulasi puluhan repositori internal.

Selain itu, mereka menargetkan klaster Kubernetes dengan skrip shell berbahaya yang dapat menghapus seluruh mesin jika mendeteksi zona waktu dan lokal Iran, menandai peningkatan eskalasi modus operandi kelompok ini.

Analisis Redaksi

Menurut pandangan redaksi, serangan TeamPCP ini menyoroti betapa rapuhnya ekosistem perangkat lunak modern yang bergantung pada rantai pasokan terbuka dan otomatisasi CI/CD. Dengan mencuri kredensial dari satu aksi GitHub yang dipercaya, pelaku dapat melompat ke aksi lain dan memperluas kompromi secara eksponensial, menciptakan efek domino yang berbahaya bagi pengembangan perangkat lunak.

Ini menunjukkan bahwa mekanisme keamanan tradisional seperti review kode dan pemindaian dependensi tidak cukup untuk melindungi dari serangan yang menanamkan malware langsung ke dalam workflow resmi. Organisasi harus mengadopsi pendekatan keamanan yang lebih holistik, termasuk segmentasi akses, audit ketat, dan penggunaan token dengan hak minimum.

Ke depan, penting untuk terus memantau aktivitas jaringan dan perilaku runner CI, serta memperkuat kontrol identitas dan akses. Pemahaman mendalam tentang teknik serangan seperti typosquatting domain dan persistence malware juga menjadi kunci dalam melawan ancaman rantai pasokan yang semakin kompleks ini.

Pantau terus perkembangan terbaru agar organisasi Anda tetap terlindungi dari serangan berantai yang semakin canggih ini.