Image credit: magnific
Serangan Siber Massal Racuni 5.500+ Repositori GitHub – Dunia pengembangan perangkat lunak terbuka (open-source) baru saja dikejutkan oleh salah satu operasi meracuni alur kerja (workflow poisoning) paling agresif yang pernah tercatat dalam sejarah digital.
Pada 18 Mei 2026, sebuah serangan rantai pasok otomatis berskala raksasa yang diberi kode nama “Megalodon” menghantam platform GitHub.
Dalam kurun waktu kurang dari enam jam, serangan siber otonom ini berhasil menyuntikkan pintu belakang (backdoor) integrasi dan pengiriman berkelanjutan (CI/CD) ke dalam lebih dari 5.500 repositori.
Berdasarkan investigasi intensif dari para peneliti keamanan siber, kampanye Megalodon beroperasi dengan kecepatan dan skala yang belum pernah terjadi sebelumnya.
Antara pukul 11:36 hingga 17:48 UTC, sistem otomatis penyerang berhasil mendorong 5.718 komit (commits) berbahaya ke 5.561 repositori unik di GitHub.
Operasi ini tidak dilakukan secara manual, melainkan digerakkan oleh bot pintar yang memanfaatkan akun-akun sekali pakai (throwaway accounts) dengan nama pengguna acak sepanjang delapan karakter guna mengelabui sistem deteksi anomali bawaan GitHub.
Kamuflase Otomatisasi dan Pemalsuan Identitas
Hal yang membuat serangan Megalodon ini sangat berbahaya adalah kecerdikan penyerang dalam merajut taktik penyamaran di siang bolong.
Aktor ancaman memalsukan identitas penulis komit menggunakan nama-nama yang sangat umum di lingkungan otomatisasi pengkodean, seperti:
- build-bot, auto-ci.
- ci-bot.
- dan pipeline-bot.
Mereka juga melampirkan alamat email resmi palsu seperti build-system@noreply.dev dan ci-bot@automated.dev.
Bagi pengembang manusia yang melakukan peninjauan kode (code review) secara kilat, komit-komit ini akan terlihat seperti pemeliharaan rutin yang dilakukan oleh sistem CI/CD internal.
Kecurigaan semakin diredam oleh penggunaan pesan komit (commit messages) yang sangat meyakinkan, seperti:
- “ci: add build optimization step” (menambahkan langkah optimalisasi pembuatan aplikasi)
- “chore: optimize pipeline runtime” (mengoptimalkan waktu jalan pipa CI/CD)
Dengan meminjam narasi pemeliharaan kinerja tersebut, skrip berbahaya berhasil lolos dari filter kewaspadaan pertama tim pengembang tanpa memicu peninjauan manual yang mendalam.
|
Baca juga: Malware Pencuri OTP via Phone Link |
Dua Varian Payload Megalodon
Para peneliti menemukan bahwa operasi ini menyebarkan dua varian alur kerja GitHub Actions yang berbeda.
Meskipun metode penyusupannya berbeda, kedua varian ini berbagi server perintah dan kontrol (C2) yang sama di alamat IP 216.126.225.129:8443.
Varian 1: SysDiag (Varian Massal)
Varian ini bekerja dengan menambahkan file konfigurasi alur kerja baru bernama .github/workflows/ci.yml. Skrip ini dikonfigurasi untuk aktif secara otomatis pada setiap aktivitas push dan pull_request_target.
Taktik ini menjamin bahwa setiap kali ada komit baru di cabang (branch) mana pun, pintu belakang akan langsung dieksekusi secara otonom di latar belakang server runner GitHub.
Varian 2: Optimize-Build (Varian Tertarget / Dormant)
Ini adalah varian yang jauh lebih licik. Alih-alih membuat file baru, varian ini mengganti alur kerja CI/CD yang sudah ada di dalam repositori dengan pemicu berjenis workflow_dispatch. Mekanisme ini menciptakan pintu belakang yang tertidur (dormant).
Penyerang dapat mengaktifkan skrip berbahaya ini kapan saja mereka mau secara rahasia melalui panggilan GitHub API. Hasilnya?
Tidak ada riwayat jalan CI yang terlihat di dasbor publik dan tidak ada laporan kegagalan pembuatan aplikasi (failed builds) yang memicu kecurigaan pengembang.
Kedua varian berbahaya ini secara agresif meminta hak akses yang sangat tinggi pada server runner GitHub, khususnya izin id-token: write dan actions: read.
Hak akses ini sengaja diincar untuk memungkinkan peretasan token OIDC (OpenID Connect), yang nantinya digunakan oleh penyerang untuk melakukan pemalsuan identitas dan mengambil alih kendali penuh di lingkungan layanan awan (cloud) perusahaan korban.
Anatomi Skrip Pemeras Kredensial 111 Baris
Ketika salah satu alur kerja di atas terpicu, sebuah skrip Bash sepanjang 111 baris yang dikodekan dalam format Base64 akan dieksekusi di dalam mesin pelari (runner memory).
Skrip ini bertindak sebagai alat pemanen kredensial (credential harvester) yang sangat agresif melalui beberapa fase:
- Menyedot seluruh variabel lingkungan CI, file /proc/*/environ, dan data lingkungan dari PID 1.
- Memburu kunci akses AWS (access keys, secret keys, session tokens) di seluruh profil, mencetak token akses GCP melalui fungsi gcloud auth print-access-token, serta mengambil kredensial langsung dari titik akhir metadata AWS IMDSv2, GCP metadata, dan Azure IMDS.
- Menguras kunci privat SSH, konfigurasi otentikasi Docker, berkas .npmrc, .netrc, konfigurasi Kubernetes (kubeconfig), token HashiCorp Vault, hingga kredensial Terraform.
- Menjalankan perintah pencarian teks (grep) otomatis berbasis 30+ pola regex untuk memburu kunci API, token JWT, string koneksi basis data, kunci sertifikat PEM, dan token awan yang terselip di dalam kode proyek.
|
Baca juga: Rootkit Siluman Pengincar Developer |
Dampak Hilir yang Fatal
Dampak hilir paling kritis dari kampanye Megalodon ini sukses menghantam Tiledesk, sebuah platform obrolan langsung (live chat) berbasis sumber terbuka yang cukup populer.
Penyerang berhasil menyusup ke repositori GitHub Tiledesk dan mengganti alur kerja pembuatan citra (build image) Docker resmi milik mereka dengan pintu belakang varian Optimize-Build melalui komit berbahaya dengan nomor SHA acac5a9.
Pihak pengelola proyek yang tidak menyadari bahwa pipa otomatisasi mereka telah diracuni, kemudian merilis dan menerbitkan paket server @tiledesk/tiledesk-server versi 2.18.6 hingga 2.18.12 ke registri publik npm.
Serangan ini sangat rapi karena peretas sama sekali tidak menyentuh atau mengubah satu baris pun kode aplikasi; mereka hanya memanipulasi file alur kerja (workflow file) di sisi pipa pengiriman.
Sehingga paket resmi yang keluar dari sistem otomatisasi tersebut secara inheren telah mengandung pintu belakang berbahaya.
Tren Keracunan Pipa CI/CD
Sebagai bahan analisis komprehensif, serangan Megalodon ini mencerminkan tren yang kian marak di tahun 2026.
Di mana para aktor ancaman mengalihkan fokus mereka dari menginfeksi komputer pengguna akhir ke arah peretasan sistem infrastruktur pengiriman kode (supply chain engineering).
Metode pemanfaatan akun bot tiruan ini memiliki kesamaan pola dengan serangan siber lintas registri yang marak terjadi belakangan.
Di mana peretas menggunakan akun otomatisasi untuk melakukan dependency confusion atau menyuntikkan skrip berbahaya saat sebuah proyek perangkat lunak melakukan kompilasi di server awan.
Kecepatan eksekusi Megalodon (5.500+ repositori dalam 6 jam) membuktikan bahwa otomatisasi kini tidak hanya menjadi alat bantu bagi tim pertahanan, melainkan juga senjata pengganda kekuatan (force multiplier) bagi para kriminal digital.
Indikator Kompromi (IoC)
Para administrator dan tim operasi siber dapat melakukan pemeriksaan silang menggunakan daftar indikator berikut:
- Server Perintah & Kontrol (C2): hxxp://216[.]126[.]225[.]129:8443
- Identitas Email Penulis Palsu: build-system@noreply[.]dev, ci-bot@automated[.]dev
- Nama Penulis Komit: build-bot, auto-ci, ci-bot, pipeline-bot
- File Alur Kerja Massal: .github/workflows/ci.yml (SysDiag)
- Komit Berbahaya Tiledesk: acac5a9854650c4ae2883c4740bf87d34120c038
- Versi npm Terdampak: @tiledesk/tiledesk-server versi 2.18.6 sampai 2.18.12
Panduan Mitigasi dan Tanggap Darurat
Jika organisasi Anda mendeteksi adanya aktivitas komit dari alamat email atau nama penulis di atas pada riwayat repositori Anda tertanggal 18 Mei 2026, segera lakukan tindakan pemulihan berikut:
- Lakukan revert pada komit berbahaya tersebut secara instan dan lakukan audit menyeluruh terhadap semua file di dalam direktori .github/workflows/.
- Segera ganti dan rotasi semua rahasia (secrets), token API, kunci SSH, token Vault, dan kredensial akses awan yang dapat diakses oleh sistem pelari (runners) GitHub Actions Anda. Asumsikan semua data tersebut telah bocor.
- Periksa log audit penyedia awan Anda (AWS/GCP/Azure) untuk mencari adanya permintaan token OIDC yang aneh atau tidak dikenal dari alur kerja GitHub.
- Jangan lagi merujuk pada label versi yang dapat diubah (mutable tags seperti @v4), melainkan kunci pustaka Actions menggunakan nilai hash komit spesifik (commit SHA) guna memastikan kode aksi yang diunduh tidak dimanipulasi.
Memastikan Ekosistem Aman
Serangan Megalodon mengajarkan komunitas teknologi sebuah pelajaran berharga, mempercayai proses otomatisasi secara buta tanpa adanya pengawasan ketat adalah titik rapuh terbesar dalam industri perangkat lunak modern.
Di pertengahan tahun 2026 ini, pertahanan siber yang kuat tidak lagi hanya berfokus pada hasil akhir aplikasi, melainkan pada kebersihan dan integritas setiap pipa digital yang merajut aplikasi tersebut.
Menerapkan gerbang persetujuan alur kerja (workflow approval gates) dan menggunakan alat pemindaian rantai pasok otomatis adalah langkah mutlak untuk memastikan ekosistem pengembangan Anda tetap menjadi ruang kreasi yang aman, bukan pintu belakang bagi mata-mata digital.
Sumber berita:
