Bagaimana Ekstensi VS Code Berbahaya Membuka Akses ke 3.800 Repository Internal GitHub

Dari akses awal tersebut, penyerang diduga mampu:

• Mencuri material autentikasi seperti kredensial atau token sesi aktif
• Menggunakan kredensial tersebut untuk masuk ke sistem internal GitHub
• Mengakses dan mengekstrak data dari sekitar 3.800 repository internal milik GitHub

Karena serangan memanfaatkan alat pengembang yang dipercaya, banyak asumsi keamanan tradisional dapat dilewati. Ekstensi dalam ekosistem VS Code memang dirancang untuk menjalankan kode lokal, sehingga dapat mengakses file proyek, token autentikasi, serta lingkungan kerja pengembang.

Siapa yang Diduga di Balik Serangan

Serangan ini diklaim oleh aktor ancaman bernama TeamPCP, yang dilaporkan menawarkan kode sumber GitHub dan data organisasi internal untuk dijual di forum kejahatan siber.

GitHub sendiri tidak langsung mengatribusikan serangan tersebut ke kelompok tertentu dalam respons awalnya. Namun berbagai laporan keamanan mengaitkan klaim tersebut dengan aktivitas TeamPCP.

Kelompok ini dikenal karena menjalankan serangkaian serangan supply‑chain terhadap ekosistem pengembang sepanjang 2026.

Bagaimana Ekstensi VS Code Berbahaya Bisa Menembus Sistem

Ekstensi VS Code memiliki izin yang sama luasnya dengan banyak alat pengembangan lainnya. Dalam kasus ini, ekstensi berbahaya diduga memberikan pijakan awal bagi penyerang di perangkat karyawan.

Analisis keamanan menunjukkan malware kemungkinan melakukan beberapa tindakan berikut:

• Mengambil token autentikasi atau kredensial pengembang
• Memantau aktivitas di lingkungan pengembangan
• Mengekstrak data sensitif dari repository lokal atau sesi aktif

Dengan kredensial yang sah atau sesi yang masih aktif, penyerang dapat masuk ke repository internal GitHub tanpa harus mengeksploitasi infrastruktur GitHub secara langsung.

Pendekatan ini semakin umum dalam serangan supply‑chain: alih‑alih meretas platform utama, penyerang menargetkan lingkungan pengembang yang dipercaya, lalu bergerak masuk ke sistem internal.

Respons GitHub Setelah Insiden

GitHub menyatakan bahwa mereka mendeteksi dan menahan serangan dengan cepat setelah aktivitas mencurigakan teridentifikasi.

Langkah respons yang dilakukan antara lain:

• Menghapus versi ekstensi berbahaya dari VS Code Marketplace
• Mengisolasi perangkat karyawan yang terinfeksi
• Mengganti (rotate) kredensial sensitif
• Memulai investigasi respons insiden secara menyeluruh

Perusahaan juga menyebutkan bahwa mereka terus memantau infrastrukturnya untuk mendeteksi aktivitas berbahaya lanjutan.

Apakah Data Pengguna GitHub Terpengaruh?

Berdasarkan investigasi yang tersedia saat ini, dampak insiden tampaknya terbatas pada repository internal milik GitHub sendiri.

GitHub menyatakan tidak menemukan bukti bahwa repository pelanggan, akun organisasi, atau data perusahaan pengguna ikut terpengaruh.

Ini penting karena GitHub menjadi rumah bagi jutaan proyek perangkat lunak dan digunakan oleh organisasi di seluruh dunia. Repository yang terdampak dalam insiden ini hanya berada di lingkungan rekayasa internal GitHub.

Kaitan dengan Kampanye “Mini Shai‑Hulud”

Peneliti keamanan percaya insiden ini kemungkinan terkait dengan pola serangan yang lebih luas dari TeamPCP yang dikenal sebagai kampanye supply‑chain “Mini Shai‑Hulud”.

Kampanye tersebut telah menargetkan berbagai komponen ekosistem pengembang, termasuk:

• paket npm
• pustaka Python di PyPI
• pipeline CI/CD
• alat dan ekstensi pengembangan

Paket berbahaya dalam kampanye ini dirancang untuk mencuri rahasia penting, seperti kredensial cloud, token CI, dan data autentikasi pengembang, sehingga penyerang dapat bergerak lebih dalam ke pipeline pengembangan.

Beberapa peneliti menggambarkannya sebagai serangan supply‑chain yang dapat menyebar sendiri melalui dependensi perangkat lunak dan lingkungan pengembang yang dipercaya.

Mengapa Insiden Ini Penting bagi Dunia Pengembangan Software

Meskipun tidak ada bukti bahwa data pelanggan GitHub terkena dampak, insiden ini menunjukkan perubahan penting dalam lanskap keamanan siber.

Alih‑alih menyerang infrastruktur secara langsung, penyerang kini semakin sering menargetkan:

• workstation pengembang
• dependensi open‑source
• sistem CI/CD
• plugin dan ekstensi IDE

Lingkungan ini sering menyimpan kredensial bernilai tinggi serta jalur akses tepercaya ke sistem produksi.

Kasus GitHub menunjukkan bagaimana satu alat pengembang yang terkompromi dapat membuka akses ke ribuan repository, menjadikan keamanan rantai pasokan perangkat lunak salah satu tantangan terbesar bagi tim pengembangan modern.