Cybersecurity dan perlindungan rantai pasokan kini jadi topik hangat di kalangan developer dan pengguna platform open-source. Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) baru-baru ini mengeluarkan peringatan terkait serangan supply chain yang masih berlangsung. Mereka menyarankan agar para pengembang dan pengguna platform open-source segera mengimplementasikan langkah-langkah mitigasi untuk mengamankan lingkungan mereka.
Dalam sebuah pemberitahuan yang dirilis minggu ini, CISA memperingatkan mengenai serangan terhadap repositori GitHub melalui ekstensi Nx Console yang berbahaya, serta kampanye serangan rantai pasokan bernama Megalodon. CISA menekankan bahwa serangan-serangan ini menunjukkan bagaimana aktor siber mengeksploitasi alat dan proses yang mendukung lingkungan enterprise, cloud, dan DevOps, terutama CI/CD pipelines, ekstensi kode, dan alur kerja.
Melalui kompromi sistem pengembang Nx yang lebih awal, para penyerang ini berhasil mengakses perangkat seorang karyawan GitHub lewat ekstensi VSCode pihak ketiga yang telah dirusak. Mereka kemudian mengakses repositori dan mencuri informasi sensitif yang ada di dalamnya.
Peringatan dan Saran dari CISA
Dalam kasus Megalodon, hacker menyuntikkan alur kerja GitHub Action yang berbahaya untuk mencuri rahasia CI/CD, kredensial cloud, dan token. Mengingat hal ini, CISA mendesak organisasi untuk memantau dan mengaudit file alur kerja serta aktivitas kontributor, dan segera membalikkan perubahan yang tidak sah.
Jika organisasi menemukan pelanggaran dari software GitHub atau Nx Console yang telah dikompromikan sebelumnya, mereka disarankan untuk melakukan audit forensik pada log CI/CD, jejak audit cloud, dan mesin pengembang yang terpengaruh. Juga penting untuk merotasi atau mencabut semua rahasia yang ada, termasuk semua kredensial, token, dan rahasia yang dapat diakses oleh CI/CD pipelines, seperti API keys dan kunci SSH.
CISA juga merekomendasikan agar ketika menggunakan repositori paket, pengguna sebaiknya menunggu setidaknya tiga jam sebelum menarik paket baru, untuk memberi kesempatan kepada komunitas mengenali komit berbahaya atau mencurigakan. Mereka juga menyarankan untuk menetapkan versi perangkat lunak tertentu yang terpercaya dan hanya menarik paket dari sumber yang dikenal dan terpercaya.
Langkah-langkah ini sangat penting untuk melindungi data dan mencegah kerugian yang lebih besar akibat serangan. Dengan meningkatnya kecanggihan serangan siber, kolaborasi dan kehangatan komunitas developer menjadi sangat krusial untuk menjaga keamanan lingkungan pengembangan. Pemantauan yang ketat dan tindakan cepat dapat membuat perbedaan yang signifikan dalam mengurangi risiko dan dampak dari ancaman yang ada.
Maka dari itu, bagi para pengembang, menjaga keamanan sistem dan melakukan audit secara berkala adalah langkah-langkah taktis yang bisa diambil untuk mengamankan proses pengembangan mereka dari potensi serangan yang mungkin akan datang.
