Microsoft menonaktifkan akses ke puluhan proyek open source miliknya di GitHub setelah menemukan dugaan penyusupan malware pencuri sandi. Langkah ini diambil saat perusahaan masih memeriksa apakah kode berbahaya itu sudah disisipkan ke beberapa repositori yang dipakai luas oleh pengembang.
Kasus ini menjadi perhatian karena proyek yang terdampak berkaitan dengan layanan cloud Azure dan alat bantu pengembang untuk lingkungan pemrograman berbasis AI. Jika repositori semacam ini tersentuh malware, risiko paparan kredensial sensitif bisa ikut membesar.
Repositori yang ditarik sementara
Microsoft mengonfirmasi bahwa sejumlah repositori memang ditarik sementara sambil menjalankan investigasi. Juru bicara Microsoft, Ben Hope, mengatakan, “Kami telah menghapus sementara beberapa repositori seiring dengan investigasi yang kami lakukan terhadap potensi konten berbahaya.”
Hope menambahkan bahwa sebagian repositori sudah dipulihkan setelah ditinjau, sementara sebagian lain masih tetap luring. Artinya, proses pemeriksaan belum selesai dan perusahaan masih menilai sejauh mana dampak penyusupan itu.
Di GitHub, setidaknya ada 70 proyek milik Microsoft yang berstatus dinonaktifkan. Pada halaman proyek, GitHub menampilkan pesan bahwa akses dinonaktifkan oleh staf karena pelanggaran terhadap ketentuan layanan.
Asal temuan malware dan risiko kredensial
Laporan awal mengenai infeksi ini datang dari Cloudsmith dan situs analisis malware berbasis komunitas OpenSourceMalware. Keduanya menyebut kode berbahaya itu memungkinkan pelaku mencuri kata sandi dan kredensial lain saat pengguna membuka alat yang telah disusupi di aplikasi pengkodean AI.
Karena alat yang terdampak dipakai untuk menulis dan menjalankan kode, potensi kebocoran data menjadi lebih serius. Lingkungan seperti ini sering menyimpan akses penting, sehingga satu komponen berbahaya dapat membuka jalan ke akun dan sistem lain.
Ancaman supply chain attack
Insiden ini kembali menyoroti risiko supply chain attack, yaitu serangan yang menargetkan kode inti agar dampaknya menyebar ke banyak produk lain. Pola serangan seperti ini dianggap efektif karena satu celah di proyek yang banyak dipakai bisa berimbas luas ke pengguna dan sistem lain.
Dalam kasus Microsoft, target yang dikaitkan dengan cloud dan alat pengembang dinilai sangat menguntungkan bagi pelaku. Proyek seperti ini kerap memiliki akses ke sistem besar dan data pelanggan, sehingga penyusupan pada repositori open source menjadi pintu masuk bernilai tinggi.
Investigasi yang belum tuntas
Microsoft juga telah menghubungi pengguna yang diduga sempat berinteraksi dengan kode terinfeksi. Namun, perusahaan belum mengungkap jumlah pasti pelanggan atau pengguna yang terdampak.
“Sebagai bagian dari investigasi kami, kami memberi tahu sejumlah kecil pelanggan yang mungkin telah mengunduh konten dari repositori yang terdampak,” kata Hope. Microsoft menyebut akan terus menyelidiki dan menghubungi pelanggan melalui saluran dukungan resmi bila diperlukan.
Peristiwa ini disebut sebagai kebocoran keamanan kedua yang dialami Microsoft dalam beberapa pekan terakhir pada proyek open source mereka. Menurut Ars Technica, pada pertengahan Mei peneliti keamanan telah mendeteksi peretasan pada Durable Task, alat bantu pengembang milik Microsoft.
OpenSourceMalware menilai insiden terbaru ini sebagai kompromi berulang terhadap Durable Task. Temuan itu bisa berarti upaya pembersihan sebelumnya belum sepenuhnya berhasil, atau ada celah keamanan baru yang kembali dimanfaatkan peretas.
Dengan puluhan repositori masih dinonaktifkan, fokus Microsoft kini tertuju pada pemulihan proyek yang aman, pemberitahuan kepada pengguna yang mungkin terpapar, dan penelusuran sumber penyusupan malware pencuri sandi tersebut.
