Vercel sufre un ciberataque que se inició con malware oculto tras trucos de Roblox

Un ataque en cascada que expuso datos de clientes

Vercel, empresa detrás de Next.js y otras bibliotecas de código abierto, alertó a sus clientes sobre un posible compromiso de sus datos tras un ciberataque que se extendió a través de sus sistemas internos. Según el comunicado publicado el domingo, el incidente no comenzó en Vercel, sino en un tercero, revelando los riesgos de las aplicaciones en la nube interconectadas y las integraciones SaaS con permisos excesivos.

El origen: malware disfrazado de trucos para Roblox

Investigadores de Hudson Rock rastrearon el ataque hasta febrero, cuando un empleado de Context.ai infectó su equipo con el malware Lumma Stealer tras buscar exploits para el juego Roblox. Este tipo de malware es comúnmente distribuido como herramientas para modificar juegos, pero en realidad roba credenciales y datos sensibles.

La cadena de fallos que permitió el acceso a Vercel

Context.ai, empresa de inteligencia artificial, confirmó que el ataque permitió a los ciberdelincuentes acceder a su entorno en AWS y a tokens de OAuth de algunos usuarios, incluyendo el de un empleado de Vercel que utilizaba la suite de oficina de Context.ai con acceso completo a su cuenta de Google Workspace.

Vercel no es cliente de Context.ai, pero el empleado había concedido permisos totales a la herramienta de IA. Los atacantes aprovecharon este acceso para tomar el control de la cuenta de Google Workspace del empleado, lo que les permitió infiltrarse en algunos entornos de Vercel y acceder a variables de entorno no marcadas como sensibles.

Declaraciones de Vercel y su CEO

«El grupo atacante es altamente sofisticado y, sospecho, acelerado significativamente por la IA. Se movieron con una velocidad y comprensión sorprendentes de Vercel».

Vercel aclaró que los datos de sus clientes están cifrados, pero los atacantes lograron avanzar mediante técnicas de enumeración, es decir, identificando y contando variables específicas.

¿Quién está detrás del ataque?

Un grupo autodenominado ShinyHunters se atribuyó el ataque en un mensaje en Telegram, ofreciendo en venta los datos robados, que incluyen claves de acceso, código fuente y bases de datos.

Sin embargo, Austin Larsen, analista principal de amenazas en Google Threat Intelligence, advirtió en LinkedIn que es probable que se trate de un impostor que intenta aprovechar el nombre de un grupo conocido para ganar notoriedad. «Independientemente del actor de la amenaza, el riesgo de exposición es real», añadió.

Consecuencias y medidas recomendadas

Vercel confirmó que un número limitado de clientes se vio afectado y les recomendó rotar sus credenciales de inmediato. La empresa no detalló qué sistemas internos fueron comprometidos ni explicó completamente cómo los atacantes accedieron a las credenciales de los clientes.

Además, Vercel advirtió que el ataque a la aplicación de OAuth de Google Workspace de Context.ai «fue parte de un compromiso más amplio que podría afectar a cientos de usuarios en múltiples organizaciones». La compañía publicó indicadores de compromiso y animó a sus clientes a revisar los registros de actividad y rotar las variables que contengan secretos.

Investigaciones en curso

Tanto Vercel como Context.ai, en coordinación con empresas de ciberseguridad como CrowdStrike y Mandiant, continúan con sus investigaciones para determinar el alcance total del ataque y reforzar sus medidas de seguridad.