Serangan rantai pasokan biasanya dibahas setelah serangan tersebut terlihat: paket berbahaya, pembaruan perangkat lunak yang disusupi, ekstensi berbahaya, atau pelanggaran yang melibatkan vendor tepercaya. Namun sebelum suatu insiden mencapai tahap tersebut, tanda-tanda peringatan dini mungkin terlihat kurang jelas.
Di forum dan pasar bawah tanah, relevansi rantai pasokan tidak selalu muncul dalam label yang jelas. Sebuah postingan mungkin tidak mengatakan “serangan rantai pasokan” sama sekali. Ini mungkin mengiklankan akses GitHub, repositori pribadi, kode sumber, kunci API, token OAuth, kredensial cloud, data CI/CD, atau kebocoran terkait vendor.
Risiko rantai pasokan berasal dari lokasi akses tersebut dan hubungan kepercayaan apa yang disentuhnya.
Investigasi terbaru oleh Suar Peneliti dari pos-pos bawah tanah menunjukkan bahwa meskipun sangat sulit untuk mengenalinya, sering kali terdapat tanda-tanda peringatan dini di bawah tanah mengenai serangan terhadap rantai pasokan perangkat lunak bahkan sebelum hal tersebut dipublikasikan ke publik sebagai laporan insiden.
Apa itu Serangan Rantai Pasokan Perangkat Lunak
Serangan rantai pasokan perangkat lunak menargetkan alat, vendor, komponen perangkat lunak, layanan, atau proses tepercaya yang diandalkan oleh suatu organisasi, alih-alih menyerang organisasi secara langsung. Dalam perangkat lunak, hal ini dapat mencakup kompromi terhadap penyedia pihak ketiga, akun pengembang, repositori kode sumber, registri paket, saluran CI/CD, mekanisme pembaruan, plugin, atau integrasi SaaS.
Bahayanya adalah ketika penyerang menyusupi sesuatu yang dipercaya dalam rantai pengiriman, mereka mungkin dapat menjangkau pelanggan hilir, pengguna, atau sistem internal melalui akses, pembaruan, kode, atau integrasi yang tampak sah.
Ketika akses biasa menjadi relevan bagi rantai pasokan
Salah satu contoh terkuat yang diamati oleh peneliti Flare adalah postingan (lihat tangkapan layar di bawah) yang mengiklankan akses terkait GitHub, termasuk referensi ke akun pengembang, repositori pribadi, materi akses, dan paparan kode sumber.
Dengan sendirinya, ini mungkin terlihat seperti penjualan akses standar. Namun akses GitHub bisa lebih dari sekadar akses ke kode. Ini mungkin mengungkap rahasia, skrip penerapan, logika penerbitan paket, kredensial cloud, dokumentasi internal, dan alur kerja CI/CD.
Di sinilah sudut rantai pasok dimulai.
Jika penyerang mendapatkan akses ke identitas pengembang atau repositori pribadi, mereka mungkin dapat memahami bagaimana perangkat lunak dibangun, dependensi mana yang digunakan, di mana rahasia disimpan, dan bagaimana pembaruan dipublikasikan. Dalam beberapa kasus, akses tersebut dapat memungkinkan serangan terhadap pelanggan, pengguna hilir, atau sistem lain yang terhubung.
Itu kejadian Vercel pada bulan April 2026 adalah contoh berguna lainnya karena menunjukkan bagaimana kompromi yang melibatkan alat AI pihak ketiga tepercaya dan akses SaaS yang terhubung dengan OAuth dapat menimbulkan masalah keamanan yang lebih luas (bahkan ketika perusahaan yang terkena dampak mengatakan data sensitif pelanggan dan kode sumber tidak diakses).
Bagi analis yang meninjau postingan bawah tanah, relevansinya bukanlah insiden itu sendiri, yang sudah diketahui publik, namun jenis paparan yang diwakilinya: integrasi tepercaya, akun SaaS, alat internal, variabel lingkungan, dan platform pengembang yang terhubung melalui izin yang dapat disalahgunakan jika satu tautan dalam rantai disusupi.
Inilah sebabnya mengapa postingan bawah tanah yang menyebutkan akses OAuth, alat SaaS, variabel lingkungan, atau platform pengembang patut mendapat perhatian, meskipun klaim awal terbatas atau belum diverifikasi.
Kode sumber tidak selalu hanya kekayaan intelektual
Peneliti Flare juga meninjau postingan yang melibatkan dugaan data vendor dan paparan kode sumber, termasuk klaim seputar Sportradar AG yang kemudian digaungkan dalam pelaporan publik mengenai kampanye rantai pasokan TeamPCP yang lebih luas.
Kasus Sportradar dikaitkan dengan pemindai Trivy yang disusupi dan mencakup paparan materi operasional sensitif seperti kata sandi basis data, pasangan kunci dan rahasia API, kredensial Kafka, dan token pemantauan.
Hal inilah yang menjadikan kasus ini relevan selain pelanggaran langsung: jenis data ini dapat mengungkapkan bagaimana sistem vendor terhubung, layanan dan integrasi mana yang dipercaya, dan kredensial mana yang dapat menimbulkan risiko bagi mitra atau pelanggan.
Dalam investigasi rantai pasokan, detail tersebut penting karena bagian paling berbahaya dari kebocoran tidak selalu terletak pada database yang dicuri, namun jalur akses dan hubungan tepercaya yang terungkap.
Mendaftarlah untuk uji coba gratis untuk mengakses jika Anda belum menjadi pelanggan.
Hal serupa muncul dalam pelaporan publik seputar TeamPCP dan Mistral AI. Pada bulan Mei 2026, laporan yang diklaim bahwa TeamPCP menjual ratusan dugaan repositori Mistral AI. Mistral membantah sebagian klaim tersebut, namun kasus tersebut masih menggambarkan mengapa pencurian kode sumber tidak boleh dipandang hanya sebagai masalah kekayaan intelektual.
Repositori dapat mencakup kredensial, logika bangunan, nama layanan internal, alur kerja penerapan, dokumentasi API, atau referensi ke pelanggan dan integrasi.
Meskipun kode sumber yang bocor tidak memberikan akses produksi langsung, hal ini dapat membantu penyerang memetakan lingkungan dan mengidentifikasi jalur serangan di masa depan.
Serangan paket menunjukkan bagaimana akses dapat ditingkatkan
Lensa analitis yang sama juga berlaku untuk insiden ekosistem paket. Pelaporan publik tentang Shai-Hulud (serangan rantai pasokan npm yang menyebar sendiri dan mencuri rahasia pengembang dan menginfeksi paket tepercaya) menunjukkan bagaimana akun pengelola npm yang disusupi dan pembaruan paket berbahaya dapat digunakan untuk mencuri kredensial, mengambil rahasia CI/CD, dan menyebarkannya ke seluruh repositori.
Signifikansinya bukan hanya pada kode berbahaya itu sendiri, namun juga cara mekanisme penerbitan paket yang terpercaya disalahgunakan.
Diskusi seputar aktivitas gaya Shai-Hulud dan kompetisi serangan rantai pasokan juga diamati. Pos-pos ini kurang konkrit sebagai arahan korban, namun berguna sebagai konteks ancaman. Mereka menunjukkan bahwa para pelaku mengamati teknik kompromi paket publik dan mendiskusikan bagaimana teknik tersebut dapat digunakan kembali, dimodifikasi, atau diperluas.
Mendaftarlah untuk uji coba gratis untuk mengakses jika Anda belum menjadi pelanggan.
Itu insiden rantai pasokan LiteLLM memberikan contoh terbaru lainnya. Pelaporan publik menjelaskan penerbitan paket PyPI tidak sah yang terhubung ke jalur kompromi yang lebih luas yang melibatkan pengembang dan lingkungan CI/CD. Karena LiteLLM digunakan sebagai gateway AI, insiden ini juga menunjukkan bagaimana risiko rantai pasokan meluas ke infrastruktur AI dan peralatan pengembang.
Lingkungan pengembang sendiri juga menjadi target yang menarik. Pelaporan terbaru seputar ekstensi VS Code yang berbahaya menunjukkan bagaimana alat pengembangan tepercaya dapat menjadi jalur menuju repositori dan kredensial. Ekstensi, plugin, dan alat pengkodean AI sering kali berada dekat dengan kode sumber, terminal, token, dan alur kerja internal, menjadikannya berharga meskipun bukan bagian dari infrastruktur produksi.
Apa yang dapat diambil oleh para pembela HAM dari hal ini
Postingan yang ditinjau tidak membuktikan bahwa setiap penjualan akses bawah tanah merupakan ancaman rantai pasokan. Hal ini menunjukkan mengapa tim keamanan harus mengajukan pertanyaan yang lebih baik ketika mereka melihat postingan yang melibatkan kode sumber, akun pengembang, akses SaaS, kunci API, token OAuth, ekosistem paket, atau materi CI/CD.
Pertanyaan kuncinya bukan hanya, “Apakah data bocor?” Pertanyaannya juga adalah, “Dapatkah akses ini memengaruhi cara perangkat lunak tepercaya dibangun, diterapkan, diperbarui, atau diintegrasikan?”
Bagi para pembela HAM, hal ini berarti pemantauan rantai pasokan harus mencakup lebih dari sekedar pengungkapan kerentanan dan peringatan paket. Organisasi harus memperhatikan kredensial pengembang yang terekspos, akses GitHub dan GitLab, token registri paket, kebocoran repositori, rahasia CI/CD, kunci cloud, hibah OAuth, dan klaim yang melibatkan vendor atau penyedia perangkat lunak penting.
Nilai dari pemantauan bawah tanah adalah mengenali sinyal-sinyal awal ini sebelum dibingkai sebagai sebuah insiden rantai pasokan penuh.
Pelajari lebih lanjut dengan mendaftar uji coba gratis kami.
Disponsori dan ditulis oleh Suar.
