GitHub mengatakan seorang hacker mencuri kode dari sekitar 3.800 repository internal mereka setelah menanam plugin berbahaya di komputer seorang karyawan, sehingga memicu kekhawatiran di industri aset kripto terkait keamanan API key yang tersimpan di dalam kode.
Pendiri Binance, Changpeng Zhao, mengimbau para pengembang untuk memeriksa setiap proyek demi menemukan key tersembunyi dan segera menggantinya, serta mengingatkan bahwa saat ini bahkan repository privat pun harus dianggap sudah terekspos.
Apa yang Diungkapkan Perusahaan
GitHub menjelaskan pelanggaran ini bermula ketika seorang karyawan memasang versi berbahaya dari ekstensi VS Code, yaitu addon kecil pada editor kode yang digunakan jutaan pengembang di seluruh dunia.
Perusahaan segera mengisolasi komputer yang terdampak, menghapus ekstensi yang bermasalah, lalu mulai menukar password penting sepanjang malam. Kredensial dengan risiko tertinggi diganti lebih dulu.
Hingga saat ini, hasil investigasi menunjukkan bahwa hacker hanya mengambil kode dari repository internal milik GitHub sendiri. Proyek, organisasi, dan akun milik pelanggan tidak menunjukkan bukti terdampak.
GitHub menyebut klaim pelaku soal sekitar 3.800 repository yang dicuri sesuai dengan apa yang ditemukan oleh tim mereka sendiri. Laporan lengkap akan disampaikan setelah investigasi berakhir.
Mengapa Pengembang Kripto Harus Waspada
Di industri aset kripto, API key yang terekspos bisa menguras akun trading hanya dalam hitungan menit. Banyak key juga memberikan akses ke wallet, alat kustodi, atau bot exchange. Karena itulah CZ bergerak cepat memberikan peringatan kepada para pengikutnya.
Sektor ini sudah pernah mengalami kejadian serupa. Pelanggaran di penyedia infrastruktur Vercel pada awal tahun ini membuat banyak tim harus menukar key mereka. Kebocoran 3Commas di tahun 2022 juga mengekspos sekitar 100.000 key milik pengguna.
Serangan supply chain lain pada manajer password Bitwarden mencuri seed wallet dan token pengembang. Data hasil curian tersebut lalu disembunyikan di dalam repository GitHub.
Banyak pengembang juga sering meninggalkan key privat di dalam kode, skrip build, atau file konfigurasi tersembunyi, dengan anggapan tidak ada pihak luar yang dapat membacanya. Kasus GitHub ini membuktikan bahwa sistem internal pun bisa dibobol, tidak berbeda dari sistem publik.
GitHub menyatakan tim mereka masih menelusuri log. Apakah repository yang dicuri memuat kode atau rahasia yang berkaitan dengan infrastruktur aset kripto akan semakin jelas dalam beberapa hari ke depan.
