Microsoft Konfirmasi 70 Repositori Open Source di GitHub Diretas untuk Curi Password Developer AI

Microsoft telah memblokir akses ke puluhan proyek open source yang dihosting di GitHub saat perusahaan menyelidiki dugaan peretasan yang memungkinkan pelaku memasukkan malware pencuri password ke dalam kode. Banyak proyek yang terdampak berkaitan dengan layanan cloud Azure dan alat lain yang digunakan developer untuk mengembangkan aplikasi dengan bantuan AI seperti Claude Code, Gemini CLI, dan VS Code. Insiden ini menjadi peringatan keras bagi komunitas developer global terhadap risiko supply chain attack yang semakin canggih dan sulit dideteksi. Dalam era di mana AI coding assistant semakin populer, vektor serangan ini menjadi semakin relevan dan berbahaya.

Melansir TechCrunch, perusahaan keamanan Cloudsmith dan situs analisis malware OpenSourceMalware menjadi yang pertama memberi flag peringatan. Malware yang disuntikkan memungkinkan peretas mencuri password dan kredensial sensitif pengguna saat mereka membuka alat yang terkompromi di aplikasi coding AI mereka. Microsoft kemudian mengonfirmasi penarikan repositori seperti yang pertama kali dilaporkan oleh 404 Media. Cepat atau lambat, serangan semacam ini akan menjadi ancaman yang lebih umum seiring dengan semakin banyaknya developer yang menggunakan AI coding assistant untuk mempercepat workflow mereka.

Skala Serangan dan Dampaknya

Ben Hope, juru bicara Microsoft, mengatakan bahwa perusahaan telah menonaktifkan beberapa repositori saat menyelidiki konten berpotensi jahat. Beberapa repositori telah dipulihkan setelah review, sementara yang lain mungkin tetap offline selama pekerjaan investigasi berlangsung. Microsoft juga memberi tahu sejumlah kecil pelanggan yang mungkin telah menarik konten dari repositori yang terdampak. Meski demikian, jumlah pelanggan yang terpengaruh tidak diungkapkan secara spesifik. Keterbatasan transparansi ini menjadi sorotan kritik dari komunitas keamanan yang menuntut disclosure yang lebih terbuka untuk membantu komunitas melindungi diri.

Setidaknya 70 proyek milik Microsoft telah dinonaktifkan di GitHub. Pesan yang muncul saat mengakses proyek tersebut menyatakan: Access to this repository has been disabled by GitHub Staff due to a violation of GitHub terms of service. Ini adalah contoh jarang terjadi di mana raksasa teknologi sekelas Microsoft, yang memiliki sumber daya besar untuk bertahan, menjadi korban serangan supply chain yang masif. Keterbatasan kemampuan Microsoft untuk mencegah serangan ini menunjukkan bahwa tidak ada perusahaan yang terlalu besar untuk diretas jika protokol keamanan tidak cukup ketat. Insiden ini merusak kepercayaan yang sebelumnya diasumsikan sebagai kekuatan utama Microsoft dalam keamanan enterprise.

Modus Operandi Supply Chain Attack

Serangan ini adalah contoh terbaru dari hacker yang menyerang proyek open source populer dengan tujuan menanam malware pada pengguna yang menginstal kode di komputer mereka. Serangan semacam ini dikenal sebagai supply chain attack karena menargetkan kode yang sering digunakan dalam banyak produk software atau oleh jenis pengguna tertentu. Developer yang memiliki akses ke sistem cloud dan data pelanggan dalam jumlah besar menjadi target yang sangat menguntungkan bagi peretas. Mereka seringkali memiliki kredensial yang bisa memberikan akses ke infrastruktur kritis dan data sensitif perusahaan.

Bukan hal yang tidak biasa bagi developer open source individu untuk menjadi target, bahkan dalam upaya jangka panjang untuk mendapatkan kepercayaan developer. Namun jarang sekali raksasa teknologi seperti Microsoft, yang memiliki sumber daya untuk bertahan, berhasil diretas. Menurut Ars Technica, ini adalah pelanggaran kedua yang diketahui dalam beberapa minggu terakhir yang memungkinkan hacker mengkompromikan proyek open source Microsoft. Pertengahan Mei, proyek open source Durable Task milik Microsoft juga dilaporkan diretas. OpenSourceMalware mengatakan bahwa insiden terbaru adalah re-compromise dari proyek yang sama, menunjukkan bahwa pembersihan yang dilakukan Microsoft mungkin tidak cukup menyeluruh. Kegagalan mengeradicasi ancaman secara total menjadi pelajaran penting bagi semua organisasi.

Perlindungan bagi Developer Indonesia

Bagi developer Indonesia, insiden ini menjadi pengingat bahwa kode open source yang tampaknya berasal dari sumber terpercaya tetap bisa berbahaya. Beberapa praktik yang bisa diterapkan meliputi: memverifikasi checksum dan signature setiap kali mengunduh package, menggunakan private registry untuk package internal, mengaktifkan dependabot alerts di GitHub, dan membatasi akses kredensial production di lingkungan development lokal. Jangan pernah mengasumsikan bahwa repositori dari perusahaan besar secara otomatis aman tanpa verifikasi tambahan. Kepercayaan buta terhadap sumber terkenal adalah celah keamanan yang sering dimanfaatkan oleh peretas yang memahami psikologi komunitas developer.

Microsoft menyatakan akan terus menyelidiki dan jika ada temuan lebih lanjut yang memerlukan tindakan pelanggan, mereka akan menghubungi langsung melalui saluran dukungan yang telah ada. Bagi developer yang menggunakan tools Microsoft untuk pengembangan AI, disarankan untuk segera memeriksa riwayat instalasi dan mengganti kredensial yang mungkin telah terekspos. Keamanan supply chain bukan lagi tanggung jawab vendor semata, melainkan tanggung jawab bersama seluruh ekosistem pengembangan software. Setiap developer harus menganggap diri mereka sebagai garis pertahanan pertama dalam melindungi pengguna akhir dari ancaman yang semakin kompleks dan terus berevolusi.

Serangan ini juga menunjukkan bahwa AI coding assistant seperti Claude Code dan Gemini CLI membuka vektor serangan baru. Karena assistant ini sering mengakses repositori dan mengeksekusi kode secara otomatis, malware yang disuntikkan ke dalam package bisa dieksekusi tanpa intervensi manusia. Bagi startup Indonesia yang sedang mengadopsi AI coding tools, penting untuk memahami risiko ini dan mengimplementasikan sandboxing yang ketat. Keamanan tidak boleh dikorbankan demi efisiensi pengembangan. Jadikan insiden Microsoft sebagai pelajaran untuk memperkuat postur keamanan sebelum skala bisnis Anda tumbuh terlalu besar. Edukasi tim tentang supply chain security harus menjadi prioritas, bukan sekadar afterthought setelah insiden terjadi.