Vercel-Hack: Angriff begann mit Roblox-Cheats – wie Hacker über OAuth-Token eindrangen

Angriff auf Vercel: Malware als Roblox-Cheats getarnt

Ein Hackerangriff auf den Cloud-Hosting-Anbieter Vercel begann mit einer Malware, die als Roblox-Cheats getarnt war. Laut einem Sicherheitsbulletin vom Sonntag konnten Angreifer über mehrere interne Systeme hinweg Anmeldedaten und sensible Daten stehlen.

Wie der Angriff ablief

Die Attacke startete nicht direkt bei Vercel, sondern nutzte Schwachstellen in vernetzten Cloud-Anwendungen und SaaS-Integrationen mit überhöhten Berechtigungen. Der Angreifer durchquerte dabei Drittanbieter-Systeme und ungeschützte Verbindungen, die von Mitarbeitern hinterlassen wurden.

Forscher von Hudson Rock identifizierten den Ursprung der Attacke im Februar: Ein Mitarbeiter des KI-Unternehmens Context.ai hatte sich mit der Lumma Stealer-Malware infiziert, nachdem er nach Roblox-Exploits gesucht hatte – ein häufiger Einfallstor für Infostealer.

OAuth-Token als Einfallstor

Context.ai bestätigte, dass der Angriff den Zugriff auf seine AWS-Umgebung und OAuth-Token einiger Nutzer ermöglichte, darunter ein Token für ein Google Workspace-Konto eines Vercel-Mitarbeiters. Obwohl Vercel kein Context-Kunde ist, hatte der Mitarbeiter Context AI Office Suite genutzt und dieser Vollzugriff gewährt.

„Der Angreifer nutzte diesen Zugang, um das Google Workspace-Konto des Mitarbeiters zu übernehmen. Dadurch erhielt er Zugriff auf einige Vercel-Umgebungen und Umgebungsvariablen, die nicht als sensibel markiert waren.“

Begrenzte Auswirkungen, aber hohe Risiken

Vercel teilte mit, dass nur eine begrenzte Anzahl von Kunden betroffen sei und diese umgehend aufgefordert wurden, ihre Zugangsdaten zu rotieren. Das Unternehmen gab keine weiteren Details zu den kompromittierten Systemen preis.

Vercel-CEO Guillermo Rauch betonte, dass Kundendaten verschlüsselt seien, der Angreifer jedoch durch Aufzählung und Inventarisierung spezifischer Variablen weiteren Zugriff erlangte. In einem Post auf X (ehemals Twitter) sagte er:

„Wir gehen von einer hochgradig sophistizierten Angreifergruppe aus, die vermutlich durch KI erheblich beschleunigt wurde. Sie agierten mit überraschender Geschwindigkeit und tiefem Verständnis für Vercel.“

ShinyHunters beansprucht Verantwortung – doch Experten zweifeln

Eine Gruppe namens ShinyHunters behauptete in einem Telegram-Post, für den Angriff verantwortlich zu sein und die gestohlenen Daten – darunter Zugangsschlüssel, Quellcode und Datenbanken – zum Verkauf anzubieten.

Austin Larsen, Principal Threat Analyst bei Google Threat Intelligence, äußerte jedoch Zweifel an dieser Behauptung:

„Der Angreifer ist wahrscheinlich ein Hochstapler, der sich den Namen einer bekannten Gruppe zulegt, um seine Bekanntheit zu steigern. Unabhängig vom tatsächlichen Akteur bleibt das Risiko einer Datenexposition real.“

Empfehlungen für Nutzer und Unternehmen

Vercel warnte, dass der Angriff auf das OAuth-App von Context.ai „Teil einer breiteren Kompromittierung“ sein könnte und potenziell Hunderte von Nutzern in verschiedenen Organisationen betrifft. Das Unternehmen veröffentlichte Indikatoren für Kompromittierungen und riet Kunden, ihre Aktivitätsprotokolle zu überprüfen sowie geheime Variablen zu rotieren.

Sowohl Context.ai als auch Vercel betonten, dass ihre unabhängigen und koordinierten Untersuchungen – unterstützt von CrowdStrike und Mandiant – weiterhin laufen.