Platform berbagi kode populer GitHub sedang mengalami serangan berskala besar yang berpotensi berdampak pada jutaan pengguna. Menurut laporan dari Gizmochina pada Sabtu (2/3), peneliti keamanan di Apiiro telah menemukan adanya tren yang mengkhawatirkan di mana pelaku jahat mengincar repositori GitHub dengan potensi merusak lebih dari 100.000 proyek.
Serangan ini melibatkan teknik yang dikenal sebagai “kebingungan repositori berbahaya,” di mana penyerang mengkloning repositori yang sah, menyuntikkan kode berbahaya, dan mengunggahnya kembali ke platform. Repositori yang telah dimanipulasi tersebut kemudian bisa diunduh oleh pengguna tanpa curiga, yang dapat membahayakan sistem mereka atau terinfeksi malware.
Laporan Apiiro juga menyoroti beberapa faktor yang membuat GitHub rentan terhadap serangan semacam ini. Kemudahan penggunaan platform, ketersediaan API yang siap pakai, dan banyaknya repositori tersembunyi menciptakan lingkungan yang ideal bagi penyerang untuk melancarkan serangan watering hole, yaitu serangan siber yang menargetkan kelompok pengguna dengan cara menginfeksi situs web yang biasa mereka kunjungi.
Para penyerang biasanya menargetkan repositori yang populer dan sering diunduh. Mereka menyuntikkan kode berbahaya ke dalam repositori tersebut dan mengunggahnya kembali. Untuk meningkatkan jangkauan serangan, mereka membuat banyak fork palsu dari repositori yang telah disusupi dengan metode otomatis. Fork palsu tersebut kemudian disebar melalui media sosial, forum online, dan saluran lainnya untuk menipu pengguna agar mengunduh versi berbahaya.
Meskipun GitHub telah mengambil tindakan dengan menonaktifkan sebagian besar repositori berbahaya yang diidentifikasi, aktivitas serangan masih terus berlangsung. Kampanye serangan ini dimulai pada Mei 2023 dan terus berkembang, menimbulkan kekhawatiran bahwa akan ada lebih banyak repositori dan pengguna yang terpengaruh di masa mendatang.
Pengembang dan pengguna disarankan untuk berhati-hati saat mengunduh kode dari GitHub, terutama dari repositori yang tidak dikenal. Penting untuk memverifikasi sumber dan legitimasi kode sebelum mengintegrasikannya ke dalam proyek.
