GitHub Mengonfirmasi 3800 Repositori Internal Dicuri Melalui Plugin VS Code yang Diracuni

Berita ME, 20 Mei (UTC+8), menurut pemantauan Beating, GitHub secara resmi merilis pengumuman investigasi keamanan, mengonfirmasi bahwa karena perangkat salah satu karyawan terinfeksi plugin VS Code yang telah diracuni, repositori internalnya mengalami akses tidak sah. Penyerang menyatakan telah mengumpulkan sekitar 3.800 repositori internal GitHub, dan pihak resmi mengakui bahwa pernyataan ini sejalan dengan temuan investigasi saat ini. Plugin jahat yang terlibat adalah ekstensi terkenal Nx Console (versi v18.95.0) yang sempat tersedia singkat di pasar Microsoft Visual Studio Code pada 18 Mei. Penyerang memperoleh izin rilis dengan mencuri Token kontributor dan mendorong versi jahat yang berisi pencuri kredensial ke pasar aplikasi. Meskipun tim Nx mendeteksi anomali dan menarik versi tersebut dalam 11 menit, beberapa karyawan GitHub tetap mengunduh dan terinfeksi selama periode tersebut. Payload jahat ini secara otomatis membaca kredensial Git host, penyimpanan ekstensi VS Code, kunci AWS, dan data sensitif 1Password di latar belakang. Kredensial ini memungkinkan penyerang eksternal melewati hambatan keamanan perimeter dan secara langsung mengumpulkan repositori internal GitHub. GitHub menyatakan telah mendeteksi dan mengendalikan pelanggaran perangkat ini pada 19 Mei. Untuk mengurangi risiko, tim keamanan segera mengganti semua kunci penting kemarin dan malam hari, serta memprioritaskan kredensial bernilai tinggi. Saat ini, tim terus menganalisis log dan memantau aktivitas lanjutan; laporan lengkap akan dirilis setelah investigasi selesai. (Sumber: BlockBeats)