Cacing Miasma Bobol 73 Repositori Microsoft di GitHub, Agen AI Jadi Senjata Penyebaran
Cacing Miasma Bobol 73 Repositori Microsoft di GitHub, Agen AI Jadi Senjata Penyebaran
CLB.my.id - Sebuah cacing (worm) berbahaya bernama Miasma berhasil mengompromi 73 repositori Microsoft di GitHub, menyebar melalui empat organisasi utama yaitu Azure, Azure-Samples, Microsoft, dan MicrosoftDocs. Yang membuat serangan ini unik, cacing tersebut memanfaatkan agen coding AI seperti Claude Code, Gemini CLI, Cursor, dan VS Code sebagai medium penyebaran utamanya.
Kronologi Serangan
Serangan ini dilaporkan pada 6 Juni 2026 dan langsung mendapat perhatian serius dari komunitas keamanan siber. GitHub segera menonaktifkan akses ke semua repositori yang terdampak dengan alasan pelanggaran terhadap syarat dan ketentuan platform.
Miasma merupakan varian dari cacing sebelumnya yang dikenal dengan nama Mini Shai-Hulud. Yang menarik, serangan ini bukan kali pertama repositori yang sama menjadi korban. Paket durabletask di PyPI, yang merupakan salah satu repositori inti yang terdampak, sudah pernah dikompromi oleh kelompok peretas TeamPCP sebulan sebelumnya.
“Ketika repositori yang menjadi akar kompromi bulan lalu adalah inti dari penutupan bulan ini, itu bukan kebetulan. Itu adalah luka yang sama yang kembali terbuka,” ujar Paul McCarty dari 6mile, firma keamanan yang turut menganalisis insiden ini.
Cara Penyebaran yang Cerdas
Miasma tidak mengeksploitasi kerentanan teknis di npm atau GitHub. Sebaliknya, cacing ini mengeksploitasi model kepercayaan yang menjadi fondasi platform-platform tersebut. Ia beroperasi di dalam saluran yang sah, membuat aktivitas berbahayanya nyaris tidak bisa dibedakan dari aktivitas normal.
Payload utama berukuran 4,3 MB disisipkan melalui commit ke repositori. Ketika seorang pengembang mengkloning repositori yang terinfeksi dan membukanya di agen coding AI, dropper otomatis aktif. Payload tersebut merupakan staged loader yang menggunakan Bun dan dirancang khusus untuk bertahan di repositori sumber GitHub.
Cacing ini juga membuat repositori publik baru dengan deskripsi tertentu untuk menyebarkan rahasia yang berhasil dicola. Pola yang dikenal antara lain “Miasma: The Spreading Blight” dan “Hades, The End for the Damned” yang muncul di 13 repositori.
Repositori yang Terdampak
Daftar repositori yang terinfeksi mencakup sejumlah proyek penting Microsoft. Di antaranya adalah azure-search-openai-demo-purviewdatasecurity, Connectors-NET-LSP, Connectors-NET-SDK, serta durabletask dan semua repositori terkait di berbagai bahasa pemrograman seperti .NET, Go, Java, JavaScript, dan MSSQL.
Repositori lain yang turut terdampak termasuk functions-container-action, homebrew-functions, llm-fine-tuning, dan windows-driver-docs. Cakupan yang luas ini menunjukkan betapa efektifnya strategi penyebaran melalui saluran terpercaya.
Taktik Baru yang Mengkhawatirkan
Berbeda dari serangan rantai pasok sebelumnya, Miasma tidak melakukan poisoning pada registry npm. Sebaliknya, ia langsung mendorong kode berbahaya ke repositori seperti icflorescu/mantine-datatable dan empat repositori terkait. Taktik baru ini menunjukkan evolusi dalam strategi serangan rantai pasok yang semakin sulit dideteksi.
FalconFeeds.io, salah satu firma yang memantau insiden ini, menjelaskan bahwa cacing tersebut tidak mengeksploitasi kerentanan di npm atau GitHub. Yang dieksploitasi adalah model kepercayaan yang dibangun oleh platform-platform tersebut. Aktivitas berbahaya ini menyamar sebagai aktivitas yang sah di registry, sehingga sangat sulit dibedakan.
Dampak bagi Pengembang di Indonesia
Serangan ini memiliki implikasi langsung bagi pengembang perangkat lunak di Indonesia yang menggunakan repositori Microsoft di GitHub. Siapa pun yang mengkloning dan menjalankan kode dari repositori yang terinfeksi dalam beberapa hari terakhir berpotensi terdampak.
Para ahli keamanan merekomendasikan pengembang untuk segera memeriksa apakah mereka baru-baru ini mengkloning repositori dari organisasi Azure, Azure-Samples, Microsoft, atau MicrosoftDocs. Jika ya, disarankan untuk melakukan audit keamanan menyeluruh pada lingkungan pengembangan, memutar ulang kredensial, dan memastikan tidak ada kode mencurigakan yang terpasang.
Serangan ini juga menjadi peringatan keras bahwa agen coding AI, yang semakin populer di kalangan pengembang, bisa menjadi vektor serangan baru yang efektif jika tidak dijalankan dengan kehati-hatian yang memadai.
Insiden Miasma menambah panjang daftar serangan rantai pasok perangkat lunak yang terjadi di 2026. Sebelumnya, serangan serupa juga mengincar Nx Console dan berbagai repositori populer lainnya. Pola ini menunjukkan bahwa penyerang semakin fokus mengeksploitasi kepercayaan bawaan ekosistem open source, di mana kode yang dijalankan dianggap aman karena berasal dari sumber yang terpercaya. Bagi industri teknologi Indonesia yang bergantung pada ekosistem open source, kewaspadaan terhadap rantai pasok menjadi kebutuhan yang tidak bisa ditawar lagi.***
