Vercel dan GitHub mengonfirmasi keamanan rantai pasokan npm, paket tidak dimanipulasi

Akun resmi Vercel pada 21 April 2026 mengumumkan, setelah verifikasi bersama oleh GitHub, Microsoft, npm, dan Socket, bahwa semua paket yang dipublikasikan Vercel di npm tidak mengalami manipulasi; rantai pasok tetap aman; pengumuman keamanan yang diperbarui pada hari yang sama menyebutkan bahwa variabel lingkungan pelanggan yang bocor dalam kejadian ini adalah yang tidak ditandai sebagai “sensitif”, dan setelah didekripsi di sisi belakang disimpan dalam bentuk teks biasa.

Paket npm tidak mengalami manipulasi: hasil verifikasi gabungan empat pihak

Berdasarkan pengumuman Vercel pada 21 April 2026, Vercel telah menyelesaikan verifikasi gabungan dengan GitHub, Microsoft, npm, dan Socket, dan mengonfirmasi bahwa semua paket sumber terbuka yang dipelihara Vercel di npm tidak mengalami manipulasi. Paket-paket tersebut mencakup Next.js, Turbopack, dan SWR, dengan total unduhan bulanan mencapai ratusan juta.

Penyebab insiden keamanan dan cakupan yang terdampak

Menurut pernyataan CEO Vercel Guillermo Rauch, sebuah akun karyawan mengalami kebocoran karena peretasan terhadap platform Context.ai; Context.ai telah terintegrasi dengan lingkungan Vercel dan diberikan hak OAuth Google Workspace pada level deployment, sehingga setelah Context.ai dibobol penyerang memperoleh akses istimewa, serta memperluas cakupan aksesnya lebih lanjut melalui enumerasi sumber daya lingkungan Vercel.

Menurut pengumuman keamanan yang diperbarui, yang bocor adalah variabel lingkungan pelanggan yang tidak ditandai sebagai “sensitif” (disimpan dalam bentuk teks biasa setelah didekripsi di sisi belakang); apakah ada data lain yang dibawa, Vercel masih menyelidiki. Pengumuman tersebut juga menjelaskan bahwa menghapus proyek Vercel atau akun itu sendiri tidak dapat menghilangkan risiko; kredensial yang diperoleh penyerang masih bisa terhubung langsung ke sistem produksi, sehingga rotasi kunci harus diselesaikan terlebih dahulu.

Vercel menyatakan bahwa jumlah pelanggan yang terdampak terbatas, mencakup ratusan pengguna dari beberapa institusi; pengguna yang saat ini belum menerima pemberitahuan tidak memiliki alasan untuk menganggap kredensial akun Vercel atau data pribadi mereka telah dibocorkan. Vercel sedang bekerja sama dengan Mandiant, perusahaan keamanan siber lainnya, dan aparat penegak hukum untuk melakukan penyelidikan.

Pembaruan produk dan saran tindakan untuk pelanggan

Berdasarkan pengumuman keamanan Vercel, pembaruan produk yang dirilis pada 21 April bersamaan mencakup: pembuatan variabel lingkungan baru dengan setelan default menjadi “sensitif” (sensitive: on); Dashboard menambahkan antarmuka tampilan log aktivitas yang lebih padat dan manajemen variabel lingkungan tingkat tim; dalam rekomendasi keamanan, “Aktifkan autentikasi dua faktor” dicantumkan sebagai prioritas utama.

Saran tindakan spesifik Vercel untuk pelanggan adalah sebagai berikut:

· Periksa aplikasi OAuth yang ditetapkan Vercel pada aktivitas akun Google Workspace

· Rotasikan semua variabel lingkungan yang berisi API key, token, kredensial basis data, atau signing key (meskipun sebelumnya ditandai sebagai tidak sensitif)

· Aktifkan perlindungan untuk variabel sensitif, dan periksa apakah ada kejanggalan pada deployment baru-baru ini

Pertanyaan yang Sering Diajukan

Apakah paket Vercel di npm mengalami manipulasi?

Menurut pengumuman Vercel pada 21 April 2026, Vercel telah melakukan verifikasi gabungan dengan GitHub, Microsoft, npm, dan Socket, dan mengonfirmasi bahwa semua paket, seperti Next.js, Turbopack, dan SWR, tidak mengalami manipulasi; keamanan rantai pasok tetap utuh.

Apa yang menjadi penyebab insiden keamanan Vercel ini?

Menurut pernyataan CEO Vercel Guillermo Rauch, titik awal serangan adalah peretasan terhadap alat AI pihak ketiga Context.ai; Context.ai sebelumnya telah diberikan hak OAuth Google Workspace pada level deployment untuk lingkungan Vercel, sehingga penyerang memperoleh akses istimewa dan selanjutnya melakukan enumerasi sumber daya lingkungan Vercel.

Tindakan apa yang harus diprioritaskan oleh pengguna Vercel yang terdampak?

Menurut pengumuman keamanan Vercel, pengguna yang terdampak harus memprioritaskan rotasi semua variabel lingkungan yang memuat API key, token, kredensial basis data, atau signing key; pengumuman tersebut juga menjelaskan bahwa menghapus item atau akun tidak dapat menggantikan rotasi kunci, karena kredensial yang diperoleh penyerang masih dapat langsung terhubung ke sistem produksi.