Vercel-angreb rammer flere kunder og tredjepartssystemer

Angrebet udvider sig til flere kunder

Vercel har oplyst, at efterforskningen af et nyligt cyberangreb på deres interne systemer har afsløret, at flere kunder end tidligere antaget er blevet påvirket. Virksomheden, der udvikler værktøjer og hoster cloudinfrastruktur for udviklere, bekræfter, at et begrænset antal konti er blevet kompromitteret, men nægter at oplyse det præcise antal eller omfanget af hændelserne.

Angrebet strækker sig ud over den oprindelige kilde

Vercel, der står bag populære open-source-projekter som Next.js, har analyseret næsten en petabyte logdata fra deres netværk og API. Ifølge CEO Guillermo Rauch stammer angrebet oprindeligt fra Context.ai, men ondsindet aktivitet har spredt sig til både virksomheden og dens kunder. Rauch forklarer i et indlæg på X (tidligere Twitter), at truslen inkluderer distribution af malware til computersystemer med det formål at stjæle værdifulde tokens, herunder nøgler til Vercel-konti og andre tjenester.

Når angriberen får fat i disse nøgler, viser logfilerne et gentagende mønster: hurtig og omfattende API-brug med fokus på afsøgning af ikke-følsomme miljøvariabler.

OAuth-tokens skaber sårbarheder

Eksperter understreger, at angrebet illustrerer den udbredte risiko ved sammenkoblede systemer, der benytter OAuth-tokens, tillidsbaserede relationer og overforbrug af tilladelser. Munish Walther-Puri, leder af kritisk digital infrastruktur hos TPO Group, udtaler til CyberScoop:

«Den reelle sårbarhed var tillid, ikke teknologi. OAuth gjorde en produktivitetsapp til en bagdør. Hver AI-værktøj, en medarbejder forbinder til sin arbejdsprofil, er nu en potentiel angrebsflade.»

Angriberen har formået at stjæle og dekryptere kundedata, herunder miljøvariabler, hvilket udgør en betydelig risiko for downstream-effekter.

Angrebet stammer fra Context.ai

Vercel hævder, at bruddet opstod hos Context.ai, en tredjeparts AI-værktøj brugt af en af deres medarbejdere. Forskere hos Hudson Rock har tidligere påpeget, at angrebet kan spores tilbage til februar, hvor en Context.ai-medarbejders computer blev inficeret med Lumma Stealer-malware efter at have søgt efter Roblox-spiludnyttelser – en kendt metode til at distribuere infostealere.

Vercel har endnu ikke oplyst, hvilke systemer og kundedata der er blevet kompromitteret, eller hvordan truslen er blevet håndteret. Virksomheden understreger dog, at der ikke er fundet tegn på manipulation i de softwarepakker, de udgiver, og konkluderer, at «vi mener, at forsyningskæden fortsat er sikker».

Yderligere kompromitterede kunder identificeret

Vercel har i en opdateret sikkerhedsbulletin afsløret, at de har identificeret et separat mindre antal kunder, der er blevet kompromitteret i angreb, som ikke er relateret til bruddet på deres egne systemer. Disse angreb synes ikke at være en fortsættelse af april-hændelsen eller tegn på et tidligere sikkerhedsbrud hos Vercel.

Det er uklart, hvordan Vercel er blevet opmærksom på disse angreb, eller hvorfor de offentliggør dem nu. Vercel har afvist at besvare spørgsmål, og Mandiant, der fører undersøgelsen af angrebet, har henvist tilbage til Vercel. Virksomheden har endnu ikke tilskrevet angrebet til nogen bestemt trusselgruppe.