Vercel victime d'une cyberattaque via des cheats Roblox : les détails de l'intrusion

Une attaque en cascade exploitant des outils malveillants

Vercel a révélé qu'une cyberattaque sophistiquée a compromis ses systèmes internes, permettant à des attaquants de voler des identifiants et des données sensibles de certains clients. L'intrusion, dont l'origine ne provient pas directement de Vercel, met en lumière les dangers des applications cloud interconnectées et des intégrations SaaS aux permissions excessives.

Le point de départ : un malware déguisé en cheat Roblox

Selon les chercheurs de Hudson Rock, l'attaque a débuté en février 2024. Un employé de Context.ai a infecté son ordinateur avec le malware Lumma Stealer après avoir recherché des exploits pour le jeu Roblox, une méthode courante pour déployer des voleurs d'informations.

L'enchaînement des compromissions

Les attaquants ont exploité des systèmes tiers et des connexions exposées par des employés avant d'atteindre Vercel, la société basée à San Francisco, connue pour ses outils comme Next.js. Context.ai a confirmé que la violation a permis aux pirates d'accéder à son environnement AWS et à des jetons OAuth, y compris celui d'un employé de Vercel utilisant la suite bureautique Context AI Office.

Vercel, bien que non client de Context.ai, a subi les conséquences indirectes. L'attaquant a pris le contrôle du compte Google Workspace de l'employé, lui donnant accès à certains environnements et variables d'environnement non marquées comme sensibles.

Les déclarations des parties impliquées

« L'attaquant a utilisé cet accès pour compromettre le compte Google Workspace de l'employé Vercel, ce qui lui a permis d'accéder à certains environnements et variables d'environnement non sensibles. »

Guillermo Rauch, PDG de Vercel, a souligné la sophistication de l'attaque et suspecte un rôle accélérateur de l'IA dans son exécution :

« Nous croyons que le groupe attaquant est hautement sophistiqué et, je suspecte fortement, significativement accéléré par l'IA. Ils ont agi avec une rapidité et une compréhension approfondie de Vercel surprenantes. »

Les conséquences et les responsabilités

Vercel a indiqué qu'un nombre limité de clients a été touché et a immédiatement recommandé de faire tourner les identifiants. Cependant, l'entreprise n'a pas précisé quels systèmes internes ont été compromis ni détaillé comment les attaquants ont accédé aux données des clients.

Un groupe se faisant appeler ShinyHunters a revendiqué l'attaque sur Telegram, affirmant vendre les données volées, incluant des clés d'accès, du code source et des bases de données. Pourtant, Austin Larsen, analyste principal chez Google Threat Intelligence, met en garde :

« Il est probable que ce soit un imposteur cherchant à utiliser un nom établi pour augmenter sa notoriété. Peu importe l'acteur de la menace impliqué, le risque d'exposition est réel. »

Les leçons à tirer : sécurité des intégrations cloud

Vercel a averti que l'attaque via l'application OAuth de Context.ai « a fait l'objet d'une compromission plus large, affectant potentiellement des centaines d'utilisateurs dans de nombreuses organisations ». L'entreprise a publié des indicateurs de compromission et conseillé aux clients de revoir les journaux d'activité et de faire tourner les variables contenant des secrets.

Context.ai et Vercel ont indiqué que leurs enquêtes coordonnées, assistées par CrowdStrike et Mandiant, sont toujours en cours.

Analyse des vulnérabilités exploitées

• Permissions excessives : Les intégrations SaaS avec des accès trop larges ont facilité la propagation de l'attaque.
• Manque de segmentation : Les connexions entre systèmes tiers et internes ont été exploitées.
• Risque des outils tiers : Les logiciels malveillants déguisés en outils populaires (comme les cheats Roblox) restent une menace majeure.
• Vitesse d'exécution : L'utilisation présumée de l'IA a permis une attaque rapide et ciblée.