Sedikit kita bahas kembali mengenai masalah keamanan, dimana baru baru ini GitHub mengonfirmasi adanya insiden keamanan cukup serius guys, dimana sekitar 3.800 repository internal mereka dilaporkan sempat diakses secara tidak sah setelah workstation milik salah satu developer berhasil dikompromikan.
Yang cukup menarik, sumber masalah ini diduga berasal dari extension Visual Studio Code yang ternyata mengandung kode berbahaya.
Menurut penjelasan GitHub, insiden ini bermula setelah seorang developer memasang extension VS Code yang ternyata sudah disusupi malware, yang imbasnya, attacker berhasil mendapatkan akses ke workstation developer tersebut dan kemudian mengakses ribuan repository internal GitHub.
Namun untungnya, GitHub menyebut data pengguna di luar repository internal mereka sejauh ini tidak terdampak.
Menurut informasi yang beredar, kasus ini disebut mirip dengan serangan supply chain yang sebelumnya sempat menyerang OpenAI yang dalam kasus tersebut, attacker berhasil menyusupi package TanStack NPM dan menyebarkan worm yang mencuri credential developer melalui pipeline GitHub Actions.
Developer Diminta Lebih Waspada
Nah dari berbagai kasus, ini terlihat bahwa ekstension editor, package manager dan dependency pihak ketiga kini menjadi target utama attacker.
Oleh karena itu, Developer disarankan untuk memastikan source extension terpercaya, menghindari install extension sembarangan, melakukan rotasi credential secara berkala, mengaktifkan proteksi supply chain tambahan dan audit pipeline build dan dependency project.
Nah bagaimana menurutmu guys? apakah marketplace extension seperti VS Code Marketplace seharusnya memiliki proses verifikasi yang lebih ketat?
Via : Sophos
Catatan Penulis : WinPoin sepenuhnya bergantung pada iklan untuk tetap hidup dan menyajikan konten teknologi berkualitas secara gratis — jadi jika kamu menikmati artikel dan panduan di situs ini, mohon whitelist halaman ini di AdBlock kamu sebagai bentuk dukungan agar kami bisa terus berkembang dan berbagi insight untuk pengguna Indonesia. Kamu juga bisa mendukung kami secara langsung melalui dukungan di Saweria. Terima kasih.
