Serangan Siber Vercel Dimulai dari Malware Tersamar sebagai Cheat Roblox

Serangan Siber Vercel Bermula dari Malware Tersamar

Vercel mengumumkan bahwa sejumlah pelanggannya berisiko mengalami kebocoran data setelah peretas menyusup melalui sistem internal perusahaan. Serangan ini dimulai dari malware yang menyamar sebagai cheat Roblox, menurut laporan keamanan yang dirilis pada Minggu (14/7).

Rantai Serangan Melalui Sistem Tersambung

Peretas tidak langsung menyerang Vercel, melainkan memanfaatkan sistem pihak ketiga dan integrasi cloud dengan izin berlebih. Mereka memulai serangan dengan menginfeksi komputer seorang karyawan Context.ai pada Februari 2024. Saat itu, karyawan tersebut mencari eksploitasi game Roblox di internet, yang menjadi pintu masuk malware Lumma Stealer.

Setelah menginfeksi komputer karyawan, malware tersebut mencuri kredensial dan data sensitif. Peretas kemudian menggunakan akses tersebut untuk mengambil alih akun Google Workspace milik karyawan Vercel yang menggunakan Context AI Office Suite. Meskipun Vercel bukan pelanggan Context.ai, akses tersebut memungkinkan peretas menjelajahi lingkungan Vercel dan mencuri variabel lingkungan yang tidak ditandai sebagai sensitif.

Dampak dan Tanggapan Vercel

Vercel menyatakan bahwa hanya sejumlah kecil pelanggan yang terdampak. Perusahaan segera meminta mereka untuk mengganti kredensial. Meskipun data pelanggan terenkripsi, peretas berhasil mengakses lebih jauh melalui teknik enumerasi—mengidentifikasi dan menghitung variabel spesifik.

Guillermo Rauch, CEO Vercel, menyebut kelompok peretas sebagai sangat canggih dan diduga didukung oleh AI. "Mereka bergerak dengan kecepatan dan pemahaman mendalam tentang Vercel," tulisnya di platform X.

Klaim Tanggung Jawab dan Penyelidikan Lebih Lanjut

Sebuah kelompok bernama ShinyHunters mengklaim bertanggung jawab atas serangan ini melalui postingan di Telegram. Mereka menawarkan data curian, termasuk kunci akses, kode sumber, dan basis data. Namun, Austin Larsen, analis ancaman utama Google Threat Intelligence, menduga kelompok tersebut hanya memanfaatkan nama ShinyHunters untuk menaikkan reputasi.

Vercel juga memperingatkan bahwa serangan terhadap aplikasi OAuth Google Workspace milik Context.ai berpotensi mempengaruhi ratusan pengguna di berbagai organisasi. Perusahaan mendorong pelanggan untuk memeriksa log aktivitas, meninjau, dan memutar ulang variabel yang mengandung rahasia.

Baik Vercel maupun Context.ai sedang melakukan investigasi terkoordinasi dengan bantuan CrowdStrike dan Mandiant.

Pesan untuk Pengguna Vercel

• Segera ganti kredensial jika diminta oleh Vercel.
• Periksa log aktivitas untuk mendeteksi aktivitas mencurigakan.
• Putar ulang variabel yang mengandung rahasia (secrets).
• Hindari penggunaan integrasi pihak ketiga dengan izin berlebih.