Serangan Vercel Meluas: Dampak Terhadap Lebih Banyak Pelanggan dan Sistem Pihak Ketiga

Serangan Vercel Meluas, Lebih Banyak Pelanggan Terdampak

Vercel mengumumkan bahwa dampak serangan terhadap sistem internalnya ternyata lebih luas dari yang diumumkan sebelumnya. Setelah analisis lebih lanjut, perusahaan menemukan bukti tambahan kompromi yang melibatkan sejumlah akun pelanggan. Meskipun demikian, Vercel belum merinci jumlah pasti akun yang terdampak atau cakupan insiden yang teridentifikasi.

Perusahaan yang dikenal sebagai pengembang platform Next.js dan penyedia infrastruktur cloud untuk para pengembang ini mengungkapkan bahwa serangan tersebut tidak hanya terbatas pada sistem internalnya. Vercel, melalui CEO Guillermo Rauch, menyatakan bahwa aktivitas mencurigakan telah meluas melewati serangan awal yang berasal dari Context.ai, mitra pihak ketiga.

Modus Operandi Pelaku dan Risiko Sistem Terkait

Rauch menjelaskan dalam unggahan di platform X bahwa serangan ini melibatkan distribusi malware ke komputer yang mencari token berharga, seperti kunci akses akun Vercel dan penyedia layanan lainnya. Setelah mendapatkan kunci tersebut, pelaku melakukan aktivitas API yang masif dan berulang, dengan fokus pada pengumpulan variabel lingkungan yang tidak sensitif.

Serangan ini menyoroti risiko besar yang ditimbulkan oleh sistem yang saling terhubung melalui token OAuth, hubungan kepercayaan, dan izin yang terlalu luas. "Kerentanan sebenarnya bukan pada teknologi, melainkan pada kepercayaan," ujar Munish Walther-Puri, Kepala Infrastruktur Digital Kritis di TPO Group, kepada CyberScoop. "OAuth mengubah aplikasi produktivitas menjadi pintu belakang. Setiap alat AI yang terhubung ke akun kerja karyawan kini menjadi potensi serangan."

Data Pelanggan Tercuri, tetapi Rantai Pasok Aman

Pelaku berhasil menembus sistem internal Vercel untuk mencuri dan mendekripsi data pelanggan, termasuk variabel lingkungan yang disimpan. Meskipun demikian, Vercel menegaskan bahwa serangan awal berasal dari Context.ai, sebuah alat AI pihak ketiga yang digunakan oleh salah satu karyawannya.

Para peneliti dari Hudson Rock sebelumnya mengungkapkan bahwa serangan ini berawal pada Februari, ketika komputer seorang karyawan Context.ai terinfeksi malware Lumma Stealer setelah mencari eksploitasi game Roblox, sebuah vektor umum untuk penyebaran malware pencuri data.

Vercel belum mengungkap sistem atau data pelanggan mana saja yang dikompromikan. Perusahaan juga tidak menjelaskan langkah-langkah yang telah diambil untuk mengatasi atau mencegah serangan lebih lanjut. Meskipun demikian, Vercel menyatakan tidak menemukan bukti adanya manipulasi pada paket perangkat lunak yang mereka publikasikan, dengan kesimpulan "kami yakin rantai pasok tetap aman."

Serangan Terpisah terhadap Pelanggan Vercel

Dalam pembaruan pengumuman keamanannya, Vercel mengungkapkan bahwa mereka juga mengidentifikasi sejumlah kecil pelanggan lain yang dikompromikan dalam serangan yang tidak terkait dengan insiden April. "Serangan ini tidak berasal dari sistem Vercel," demikian pernyataan resmi perusahaan. "Aktivitas ini tidak terkait dengan insiden April maupun bukti adanya insiden keamanan Vercel sebelumnya."

Vercel tidak menjelaskan bagaimana mereka mengetahui serangan tersebut atau alasan mengungkapkannya secara publik. Perusahaan menolak untuk menjawab pertanyaan lebih lanjut, sementara Mandiant, yang tengah melakukan investigasi atas serangan tersebut, merujuk pertanyaan kembali kepada Vercel. Hingga saat ini, Vercel belum mengaitkan serangan ini dengan kelompok ancaman tertentu.