US Cybersecurity and Infrastructure Security Agency (CISA) lagi-lagi ngasih peringatan serius soal serangan rantai pasokan yang terus berlangsung, dan mereka mengimbau para developer serta pengguna platform open-source untuk segera menerapkan tindakan pengamanan di lingkungan mereka.
Baru-baru ini, CISA mengeluarkan berita tentang serangan di repositori GitHub yang dilakukan lewat ekstensi Nx Console Visual Studio Code (VSCode) yang berbahaya, serta kampanye rantai pasokan yang disebut Megalodon. Mereka mengungkapkan bahwa serangan ini memperlihatkan cara aktor ancaman siber mengeksploitasi alat dan proses yang mendukung lingkungan perusahaan, cloud, dan DevOps—khususnya pada CI/CD pipelines, ekstensi kode, dan alur kerja (workflows).
Dengan mengeksploitasi kompromi yang terjadi sebelumnya pada sistem pengembang Nx, para penyerang mampu mengakses perangkat kerja seorang karyawan GitHub melalui ekstensi VSCode pihak ketiga yang telah dirusak, kemudian mereka mencuri informasi sensitif yang ada di dalam repositori tersebut.
Peringatan dan Saran dari CISA
Dalam kampanye Megalodon, para hacker menyuntikkan workflows GitHub Action yang berbahaya untuk mencuri rahasia CI/CD, kredensial cloud, dan token, seperti yang disampaikan CISA. Oleh karena itu, mereka mendorong organisasi untuk memonitor dan mengaudit file workflow serta aktivitas kontributor, serta segera membalikkan setiap perubahan yang tidak sah.
Organisasi yang menemukan pelanggaran dari GitHub atau perangkat lunak Nx Console yang sudah terkompromi diminta untuk melakukan pemeriksaan forensik pada log CI/CD, jejak audit cloud, dan mesin pengembang yang terkena dampak. Semua rahasia, termasuk kredensial, token, dan akses yang bisa dikendalikan oleh CI/CD pipeline, perlu diputar atau dicabut. Ini termasuk API key, kredensial penyedia cloud seperti Amazon Web Services, Google Cloud Platform, Microsoft Azure, SSH keys, serta token Docker/npm/PyPI/Vault/Terraform/Kubernetes, dan token dari GitHub/GitLab/Bitbucket.
Buat yang biasa menggunakan repositori paket, CISA menyarankan untuk menunggu setidaknya tiga jam sebelum menarik paket baru, agar komunitas bisa mendeteksi adanya komit yang mencurigakan atau berbahaya. Mereka juga merekomendasikan agar perangkat lunak dikunci pada versi yang terpercaya dan hanya menarik paket dari sumber yang jelas dan terpercaya.
Intinya, tindakan pencegahan yang disarankan oleh CISA juga mencakup tinjauan forensik, perputaran semua rahasia pipeline, menetapkan versi paket yang terpercaya, dan menunda penarikan paket agar masyarakat bisa mendeteksi dengan lebih baik.
Jadi, untuk semua pengembang dan pengguna perangkat lunak di luar sana, jangan anggap remeh keamanan siber. Mari sama-sama lebih waspada dan melindungi informasi serta lingkungan kerja kita agar tetap aman.
