🚨 BERITA TERKINI: GitHub telah mengonfirmasi adanya pelanggaran terhadap repositori internalnya.

Penyerang mengompromikan perangkat karyawan melalui ekstensi Visual Studio Code yang beracun. Dari satu titik tersebut, mereka masuk ke repositori internal GitHub, membocorkan rahasia, dan pergi dengan apa yang mereka klaim sekitar 4.000 repositori pribadi kode sumber dan data organisasi internal.
Pelaku ancaman, TeamPCP, mencantumkan semuanya untuk dijual di forum Breached kemarin dengan batas harga 50.000 dolar. Ketentuan mereka secara tegas. Satu pembeli, tanpa negosiasi, dan jika tidak ada yang membayar, seluruh dataset akan bocor secara gratis.
GitHub mengatakan telah menghapus versi ekstensi berbahaya, mengisolasi perangkat, memutar ulang rahasia penting, dan mengaktifkan respons insiden.
Perusahaan menegaskan saat ini tidak ada bukti dampak terhadap repositori pelanggan, perusahaan, atau organisasi yang disimpan di luar infrastruktur internal mereka sendiri.
Vektor serangan adalah bagian yang layak diperhatikan.
Ini bukan cacat di platform GitHub. Itu adalah ekstensi beracun di marketplace VS Code, dijalankan di laptop pengembang, digunakan untuk mengakses semua yang bisa dijangkau laptop tersebut.
Minggu yang sama, dua alur kerja GitHub Actions yang populer (actions-cool/issues-helper dan actions-cool/maintain-one-comment) dikompromikan melalui manipulasi tag untuk mengekstrak kredensial CI/CD, dan sebuah kerentanan RCE kritis di GitHub sendiri, CVE-2026-3854, diperbaiki setelah peneliti menunjukkan bahwa itu bisa dipicu dengan satu push git.
Tiga insiden terpisah, satu pesan yang konsisten. Platform ini diperkuat. Rantai pasokan di sekitarnya adalah target yang lunak.
Bagi siapa saja yang sedang membangun di GitHub saat ini, daftar periksa langsungnya sederhana.
Audit ekstensi VS Code yang terpasang. Pin GitHub Actions ke SHA commit daripada tag. Putar ulang token, kunci deploy, atau rahasia yang mungkin telah menyentuh lingkungan yang dikompromikan dalam dua minggu terakhir.