GitHub secara resmi mengonfirmasi bahwa repositori internalnya telah diakses tanpa otorisasi, kalangan crypto waspada, developer mengkritik: GitHub sudah tidak bisa diandalkan, setiap hari ada saja yang rusak

GitHub pagi ini secara resmi mengakui adanya akses tidak sah ke repositori internalnya, namun menegaskan bahwa hingga saat ini tidak ada bukti kebocoran data pelanggan; komunitas keamanan siber memperingatkan: jika infrastruktur GitHub berhasil ditembus, konsekuensinya jauh lebih serius dibandingkan kebocoran satu repositori saja. (Ringkasan sebelumnya: Lobster OpenClaw viral menjadi "ATM hacker"! Situs resmi disalin secara pixel-perfect untuk menguras dompet Web3) (Latar belakang tambahan: Hati-hati dengan Bot open source di Github! SlowMist Cosine: sebuah bot open source gratis menyimpan backdoor, mencuri private key Solana) GitHub pada waktu Taiwan hari ini (20) lebih awal melalui akun X resmi (@github) mengeluarkan pernyataan, secara resmi mengakui bahwa repositori internalnya telah diakses secara tidak sah, dan saat ini sedang dalam penyelidikan. We are investigating unauthorized access to GitHub's internal repositories. While we currently have no evidence of impact to customer information stored outside of GitHub's internal repositories (such as our customers' enterprises, organizations, and repositories), we are closely… — GitHub (@github) May 19, 2026 GitHub dalam pengumumannya menegaskan: "Saat ini tidak ada bukti yang menunjukkan informasi pelanggan yang tersimpan di luar repositori internal GitHub (termasuk akun enterprise, organisasi, dan repositori pengguna) terdampak," dan menyatakan sedang memantau infrastruktur secara ketat untuk mencegah tindakan lanjutan, jika ditemukan dampak apa pun akan memberitahukan pelanggan melalui saluran respons insiden yang ada. Insiden repositori internal GitHub sendiri yang menjadi korban kali ini bukanlah kejadian terisolasi, melainkan mata rantai terbaru dari serangan beruntun belakangan ini. Pada 16 Mei, platform monitoring Grafana Labs secara terbuka mengonfirmasi mengalami insiden kebocoran GitHub Token: penyerang setelah mendapatkan Token mengunduh seluruh basis kode dan mengajukan tuntutan tebusan, Grafana memilih menolak membayar. Pada 14 Mei, kasus yang lebih mengejutkan muncul ke permukaan: repositori GitHub internal milik Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat "Private-CISA" terbuka untuk publik selama enam bulan penuh, berisi 844 MB password teks biasa, AWS Token, dan kredensial Entra ID SAML. Bahkan lembaga pertahanan siber tertinggi Amerika Serikat pun jatuh karena kelalaian pengaturan GitHub, The Register menggambarkan beberapa nama file di antaranya "sangat jelas hingga sulit dipercaya". Pada bulan yang sama, repositori GitHub perusahaan keamanan identitas SailPoint juga diretas, SecurityAffairs mengungkap insiden tersebut menunjukkan penyerang telah mengarahkan sasaran ke vendor keamanan siber yang menguasai banyak kredensial. Bagi pelaku industri cryptocurrency, konsekuensi infiltrasi infrastruktur GitHub sudah memiliki preseden berdarah-darah. Pada Maret 2026, Unit42 di bawah Palo Alto Networks mengungkap serangan rantai pasokan yang ditargetkan: target pertama penyerang justru adalah proyek open source Coinbase, agentkit. Setelah Coinbase mendeteksi dan memblokirnya, penyerang berpindah posisi, berhasil membajak GitHub Action "tj-actions/changed-files" yang banyak digunakan, akhirnya berdampak pada 23.000 repositori, di antaranya 218 benar-benar mengalami kebocoran secrets. Analisis lengkap dapat dilihat di laporan Unit42. Pada April hingga Mei tahun yang sama, 15 tag GitHub Action populer seperti "second-action" dimanipulasi, mengarah ke commit berbahaya, The Hacker News juga mencatat insiden pembajakan tag yang berdampak luas ini. Yang paling langsung berdampak pada pengguna crypto adalah insiden Bitwarden CLI: penyerang melalui GitHub Action yang diretas, menanamkan paket npm berbahaya pada versi Bitwarden CLI 2026.4.0, program tersebut secara aktif mencuri file dompet MetaMask, Phantom, dan Solana. Rantai serangan ini sepenuhnya mendemonstrasikan jalur pemanenan tiga tahap "pipeline CI/CD → package manager → dompet pengguna akhir". Pernyataan GitHub menempatkan fokus pada "repositori pelanggan aman", tetapi kekhawatiran komunitas keamanan siber mengarah pada ancaman yang lebih dalam. Jika penyerang melakukan pergerakan lateral di dalam repositori internal GitHub, target yang benar-benar berharga meliputi: kunci penandatanganan perangkat lunak (dapat digunakan untuk memalsukan pembaruan yang sah), kontrol sistem CI/CD (dapat menyuntikkan kode berbahaya kapan saja), konteks eksekusi Dependabot atau GitHub Actions (dapat mencemari semua proyek hilir yang bergantung pada alat-alat ini). Komentator terkenal di lingkaran engineering Gergely Orosz dan developer Mario Zechner baru-baru ini secara terbuka mengkritik stabilitas dan keamanan GitHub yang terus menurun, Zechner secara terang-terangan mengatakan "GitHub bukan lagi platform yang andal, setiap hari ada yang rusak". Menghadapi gelombang ancaman rantai pasokan GitHub yang terus memanas ini, komunitas keamanan siber menyarankan proyek crypto segera mengambil empat langkah pertahanan berikut: - Kunci GitHub Actions ke SHA lengkap, bukan nama tag atau branch, untuk mencegah pembajakan tag - Secrets dipisahkan menggunakan environment, dikombinasikan dengan prinsip hak akses minimum, menghindari kebocoran satu Token menyebabkan keruntuhan seluruh sistem - Aktifkan Push Protection dan GitHub Advanced Security (GHAS), untuk mencegat kredensial yang tidak sengaja diunggah pada tahap push - Mesin pengembangan dan kunci penandatanganan production dipisahkan secara fisik, sehingga meskipun lingkungan CI ditembus, tidak dapat memalsukan tanda tangan versi resmi GitHub menyatakan penyelidikan masih berlangsung, akan menerbitkan pemberitahuan lanjutan melalui saluran respons insiden yang ada. Bagi proyek crypto yang telah membangun seluruh pipeline deployment-nya di atas infrastruktur GitHub, ruang lingkup dampak akhir dari insiden ini baru dapat benar-benar dinilai setelah GitHub menyelesaikan forensik internal.