GitHub dan Nx Console Diserang Rantai Pasok, Developer Wajib Cek Extension VS Code
CLB.my.id - Serangan rantai pasok perangkat lunak kembali menunjukkan satu hal yang sering luput dari perhatian: ancaman tidak selalu datang dari aplikasi yang terlihat asing. Kadang, risiko justru masuk lewat alat yang sehari-hari dipakai developer untuk menulis kode, menjalankan pipeline, dan mengelola repositori.
Cybersecurity and Infrastructure Security Agency atau CISA memperingatkan adanya beberapa kampanye intrusi rantai pasok perangkat lunak yang menyasar ekosistem developer, terutama pipeline Continuous Integration/Continuous Deployment atau CI/CD. Dalam peringatan yang dirilis 28 Mei 2026, CISA menyoroti kompromi GitHub lewat versi berbahaya extension Nx Console untuk Visual Studio Code dan kampanye lain bernama Megalodon yang menyasar workflow GitHub Actions.
Bagi developer di Indonesia, termasuk tim kecil, startup, agensi digital, dan pengelola aplikasi internal perusahaan, kasus ini penting karena pola serangannya tidak membutuhkan korban memasang software aneh secara manual. Pada salah satu kasus, versi berbahaya Nx Console 18.95.0 tersebar melalui mekanisme pembaruan otomatis VS Code.
Bagaimana Nx Console Bisa Menjadi Pintu Masuk
Menurut CISA, pelaku ancaman memanfaatkan kompromi sebelumnya terhadap sistem developer Nx untuk menginfeksi perangkat milik karyawan GitHub melalui extension VS Code pihak ketiga yang telah diracuni. Dampaknya, terjadi akses tidak sah dan eksfiltrasi repositori internal GitHub.
Versi berbahaya yang disebut CISA adalah Nx Console 18.95.0. Karena distribusinya terjadi melalui mekanisme auto update, sistem yang sebelumnya sudah memasang Nx Console dapat menerima build berbahaya tanpa tindakan instalasi manual dari developer.
CISA juga menyebut GitHub telah merilis advisory keamanan terkait aktivitas ini. Kerentanan tersebut diberi identitas CVE-2026-48027 dan dimasukkan ke Known Exploited Vulnerabilities atau KEV Catalog milik CISA, yaitu katalog kerentanan yang diketahui telah dieksploitasi secara aktif.
Laporan dari Nx yang dirujuk CISA menambahkan detail penting. Versi berbahaya Nx Console 18.95.0 sempat tersedia di Visual Studio Marketplace dan Open VSX pada 18 Mei 2026. Nx menyatakan versi itu sudah tidak tersedia lagi, sementara versi 18.100.0 dan setelahnya disebut aman. Nx juga menegaskan bahwa kompromi ini terbatas pada extension Nx Console untuk VS Code, bukan Nx CLI, plugin resmi @nx, atau Nx Cloud.
Megalodon Menyasar Rahasia CI/CD
Selain kasus Nx Console, CISA menyoroti kampanye Megalodon. Dalam kampanye ini, pelaku menyisipkan workflow GitHub Actions berbahaya untuk memanen rahasia CI/CD, kredensial cloud, dan token. Targetnya bukan hanya kode sumber, tetapi juga jalur otomatis yang menghubungkan proses pengembangan dan deployment.
Risiko di titik ini cukup besar. Banyak pipeline modern menyimpan akses ke layanan cloud seperti Amazon Web Services, Google Cloud Platform, Microsoft Azure, registry container, npm, PyPI, Terraform, Kubernetes, GitHub, GitLab, Bitbucket, dan berbagai API internal. Jika token dari pipeline dicuri, pelaku bisa bergerak dari repositori ke infrastruktur produksi.
Itulah sebabnya CISA meminta organisasi memeriksa file workflow, aktivitas kontributor, pull request mencurigakan, dan commit langsung yang tampak tidak wajar, terutama bila dibuat oleh akun otomatis. CISA secara khusus memberi contoh nama akun seperti build-bot, auto-ci, ci-bot, dan pipeline-bot, terutama untuk perubahan setelah 18 Mei 2026.
Apa yang Perlu Dicek Developer
Untuk organisasi yang menemukan indikasi kompromi dari GitHub atau Nx Console, CISA menyarankan pemeriksaan forensik terhadap log CI/CD, jejak audit cloud, dan perangkat developer yang terdampak. Langkah berikutnya adalah mencabut dan merotasi semua rahasia yang bisa diakses pipeline, termasuk API key, kredensial cloud, SSH key, token Docker, npm, PyPI, Vault, Terraform, Kubernetes, serta token GitHub, GitLab, atau Bitbucket.
Rekomendasi ini relevan juga untuk tim kecil. Banyak proyek lokal memakai GitHub Actions untuk deploy otomatis ke VPS, hosting container, atau layanan cloud. Jika rahasia pipeline bocor, dampaknya bisa berupa pencurian data, perubahan kode tanpa izin, biaya cloud melonjak, sampai akses ke server produksi.
CISA juga menyarankan praktik yang sering terdengar sederhana, tetapi efektif: jangan langsung menarik package baru begitu rilis. Menunggu setidaknya tiga jam memberi waktu bagi komunitas software untuk mendeteksi package mencurigakan sebelum diunduh lebih luas.
Pelajaran untuk Tim Teknologi
Kasus ini memperlihatkan bahwa keamanan software supply chain bukan lagi urusan perusahaan besar saja. Extension editor, package manager, workflow CI/CD, dan akun bot kini menjadi bagian dari permukaan serangan yang sama pentingnya dengan server publik.
Untuk mengurangi risiko, tim developer perlu mengunci versi software ke rilis yang tepercaya, hanya mengambil package dari sumber yang dikenal, membatasi hak akses token, serta menerapkan persetujuan manual untuk proses rilis yang sensitif. Audit berkala pada GitHub Actions dan secret repository juga perlu menjadi kebiasaan, bukan hanya reaksi setelah insiden.
Peringatan CISA tidak memuat eksploit teknis langkah demi langkah, tetapi cukup jelas menunjukkan arah ancaman. Rantai pasok software kini menjadi target karena satu extension atau workflow yang tampak normal bisa membuka jalan ke kode, kredensial, dan infrastruktur yang jauh lebih luas.
Sumber utama: CISA, Nx Security Advisory.
