# Repo Internal GitHub Dibobol lewat Ekstensi VS Code Berbahaya

> GitHub mengkonfirmasi pelanggaran di mana penyerang mengakses 3.800 repositori internal melalui ekstensi Visual Studio Code yang diracuni, menyoroti meningkatnya ancaman serangan supply chain pada alat developer.

**URL:** https://www.ciptadusa.com/blog/github-breach-vscode-extension-may-2026  
**Type:** blog  
**Author:** PT Cipta Dua Saudara  
**Category:** Keamanan Aplikasi  
**Published:** 2026-06-01  
**Cover:** https://www.ciptadusa.com/media/blog/tech-2026/1780276036648-github-breach-vscode-2026.png  

## Article

## Apa yang terjadi

Pada tanggal 20 Mei 2026, GitHub mengonfirmasi bahwa penyerang memperoleh akses tidak sah ke repositori kode sumber internalnya setelah ekstensi Visual Studio Code yang diracuni membahayakan endpoint karyawan. Pelanggaran tersebut melibatkan eksfiltrasi data dari sekitar **3.800 repositori internal**.

GitHub menyampaikan berita tersebut dalam rangkaian lima postingan pendek bernomor di X (Twitter), tanpa entri di github.blog atau githubstatus.com resmi pada saat pengungkapan. Penilaian perusahaan saat ini adalah bahwa aktivitas tersebut melibatkan eksfiltrasi **hanya repositori internal GitHub**, tanpa dampak terhadap organisasi pelanggan, perusahaan, atau repositori pengguna.

## Vektor Serangan: Kompromi Supply Chain

Penyebab utamanya adalah **ekstensi VS Code berbahaya** yang dipasang oleh satu karyawan GitHub. Kandidat terkuat yang tersedia untuk umum, mengingat waktu dan atribusinya, adalah **nrwl.angular-console v18.95.0 (Nx Console)**, yang dipublikasikan ke VS Code Marketplace pada 18 Mei pukul 12:36 UTC dengan kode berbahaya disuntikkan ke main.js.

Serangan ini dilakukan oleh **TeamPCP** (alias UNC6780), sebuah kelompok kejahatan dunia maya yang berspesialisasi dalam serangan supply chain yang menargetkan utilitas keamanan sumber terbuka dan middleware AI.

### Serangan Terkait dalam Kampanye yang Sama

Gelombang TeamPCP juga mencakup:
- **kompromi namespace @antv npm**
- persenjataan **actions-cool/issues-helper GitHub Action**

## Analisis Teknis

### Rantai Serangan

1. **Akses Awal**: Ekstensi Kode VS Berbahaya dipublikasikan ke pasar
2. **Pengiriman**: Karyawan menginstal ekstensi beracun (Nx Console v18.95.0)
3. **Eksekusi**: Kode berbahaya dijalankan melalui sistem auto-run task.json VS Code
4. **Persistensi**: Penyerang menguasai endpoint karyawan
5. **Gerakan Lateral**: Akses ke repositori GitHub internal
6. **Eksfiltrasi**: 3.800 repo internal dicuri

### Mengapa Hal Ini Penting

Repositori yang dicuri mungkin berisi:
- Skrip penerapan dan konfigurasi infrastruktur
- Dokumentasi API
- Pementasan kredensial
- Cetak biru arsitektur GitHub itu sendiri

Meskipun GitHub menyatakan tidak ada data pelanggan yang terungkap, pelanggaran tersebut merupakan kompromi serius terhadap kekayaan intelektual internal platform developer andalan Microsoft.

## Tanggapan GitHub

Tindakan utama yang diambil oleh GitHub meliputi:
- Mengisolasi perangkat yang terkena dampak
- Menghapus ekstensi berbahaya dari pasar
- Memutar kredensial penting
- Memulai analisis log yang sedang berlangsung untuk memantau aktivitas penyerang lebih lanjut

## Pelajaran untuk Industri

Insiden ini menggarisbawahi beberapa masalah keamanan penting:

### 1. Risiko Kode Pihak Ketiga

Ekstensi VS Code beroperasi dengan hak istimewa yang signifikan. Organisasi harus:
- Audit ekstensi yang dipasang secara teratur
- Verifikasi penerbit ekstensi dan tinjau kode jika memungkinkan
- Batasi hak istimewa pemasangan ekstensi untuk karyawan yang memiliki akses ke sistem sensitif

### 2. Keamanan Supply Chain

Kampanye yang sama mengompromikan paket npm dan Tindakan GitHub. Organisasi harus:
- Menerapkan analisis komposisi software (SCA)
- Gunakan verifikasi hash untuk dependensi
- Pantau aktivitas yang tidak biasa di saluran CI/CD

### 3. Keamanan Endpoint

Bahkan karyawan terpercaya pun bisa menjadi vektor. Strategi pertahanan mendalam harus:
- Batasi hak istimewa pada stasiun kerja developer
- Gunakan kunci keamanan perangkat keras untuk akses sensitif
- Menerapkan deteksi runtime untuk aktivitas proses yang tidak biasa

## Referensi

- Bantuan Keamanan Bersih (20 Mei 2026): https://www.helpnetsecurity.com/2026/05/20/github-breached-teampcp
- Penelitian Wiz / Keamanan Phoenix: https://phoenix.security/vs-code-extension-malware-github-breach-teampcp-2026
- Axipro: https://axipro.co/github-breach-may-2026
- NVD - CVE-2026-9110: https://nvd.nist.gov/vuln/detail/CVE-2026-9110

---

*Markdown version of https://www.ciptadusa.com/blog/github-breach-vscode-extension-may-2026 — generated for AI agents and LLM crawlers.*