GitHub mengonfirmasi pada hari Selasa bahwa penyerang mendapatkan akses tidak sah ke repositori internalnya setelah mengompromikan perangkat karyawan melalui ekstensi Visual Studio Code yang telah diracuni. Platform yang dimiliki Microsoft mendeteksi dan menahan kompromi tersebut, menghapus ekstensi jahat, mengisolasi titik akhir yang terdampak, dan segera memulai respons insiden.
Perusahaan tersebut mengatakan penilaian saat ini adalah bahwa pelanggaran tersebut hanya melibatkan ekstraksi repositori internal GitHub. Repositori pelanggan, organisasi perusahaan, dan data pengguna yang disimpan di luar sistem internal GitHub diyakini tidak terdampak.
Skala Pelanggaran
GitHub mengonfirmasi bahwa klaim pelaku mengenai sekitar 3.800 repositori internal secara arah konsisten dengan investigasi mereka sendiri. Kelompok ancaman TeamPCP telah mengklaim tanggung jawab atas pelanggaran tersebut dan dilaporkan berusaha menjual dataset yang dicuri di forum kejahatan siber bawah tanah dengan harga lebih dari $50.000. Kelompok tersebut menyatakan data tersebut mencakup kode sumber platform propietaris dan file organisasi internal dari sekitar 4.000 repositori pribadi.
GitHub mengatakan bahwa mereka segera mengganti kredensial penting setelah mendeteksi pelanggaran, dengan memprioritaskan rahasia yang berdampak paling tinggi terlebih dahulu. Perusahaan terus menganalisis log, memvalidasi rotasi rahasia, dan memantau aktivitas lanjutan.
Mengapa Akses ke Repositori Internal Serius
Perusahaan mengatakan tidak memiliki bukti dampak terhadap informasi pelanggan yang disimpan di luar repositori internal. Para peneliti keamanan mencatat bahwa frasa spesifik ini penting. Tidak ada bukti dampak bukanlah konfirmasi bahwa data pelanggan aman. Itu berarti investigasi masih berlangsung dan cakupan lengkap dampaknya belum ditentukan.
Repo internal biasanya berisi konfigurasi infrastruktur, skrip deployment, dokumentasi API internal, kredensial staging, fitur flag, hook pemantauan, dan layanan yang tidak didokumentasikan. Akses ke kode sumber internal secara efektif memberikan blueprint arsitektur seluruh sistem, bahkan tanpa akses langsung ke data pelanggan.
Profesional keamanan juga menandai penyebutan eksplisit GitHub tentang pemantauan aktivitas lanjutan sebagai hal yang signifikan. Serangan modern jarang berhenti pada akses awal. Progres standar bergerak dari titik awal melalui pengintaian, peningkatan hak akses, persistensi, dan kemudian gelombang kedua aktivitas terarah setelah pembela percaya ancaman telah dikendalikan.
Apa yang Dilakukan GitHub
GitHub mengatakan bahwa rahasia kritis telah dirotasi pada hari yang sama ketika pelanggaran terdeteksi, dengan kredensial paling sensitif ditangani terlebih dahulu. Perusahaan terus memantau infrastruktur untuk mencari aktivitas sekunder dan akan menerbitkan laporan insiden yang lebih lengkap setelah penyelidikan selesai. Pelanggan akan diberi tahu melalui saluran respons insiden yang telah ditetapkan jika ditemukan dampak terhadap data mereka.
Pengembang yang menggunakan GitHub telah disarankan untuk meninjau dan mengganti kunci API yang disimpan di repositori sebagai tindakan pencegahan, bahkan di mana repositori pelanggan diyakini tidak terdampak secara langsung.