Contents
see ListNext.js를 만든 Vercel이 AI 업무 도구 Context.ai를 통한 공급망 공격으로 해킹당했습니다.
직원이 Context.ai에 구글 계정을 연동했는데, 해커가 Lumma Stealer로 Context.ai를 먼저 공격해 비밀번호를 탈취했습니다. 이후 OAuth 토큰을 통해 Vercel 내부 시스템에 침투, Supabase·Datadog·GitHub·NPM API 키까지 유출됐고 다크웹에서 22억원(약 200만 달러)에 판매가 시도됐습니다.
이번 사건은 공급망 공격(Supply Chain Attack)의 전형입니다. 내 시스템이 안전해도 내가 사용하는 서드파티 도구가 뚫리면 나도 동일한 피해를 입습니다. Vercel을 사용 중인 개발자라면 환경 변수와 API 키를 즉시 교체하는 것이 권장됩니다.
자세한 내용은 아래 인스타그램 릴스 영상에서 확인하세요.