Un attacco informatico ha messo a rischio i clienti di Vercel, azienda nota per lo sviluppo di Next.js e altre librerie open-source. L'hacker ha attraversato più sistemi interni, rubando credenziali e dati sensibili, secondo un bollettino di sicurezza pubblicato domenica.
L'attacco non è partito direttamente da Vercel, ma ha sfruttato le vulnerabilità di applicazioni cloud interconnesse e integrazioni SaaS con permessi eccessivi. Gli investigatori di Hudson Rock hanno ricostruito la catena degli eventi: tutto è iniziato a febbraio, quando un computer di un dipendente di Context.ai è stato infettato dal malware Lumma Stealer dopo aver cercato exploit per Roblox, un vettore comune per distribuire infostealer.
Context.ai ha ammesso che la violazione ha permesso all'attaccante di accedere al suo ambiente AWS e a token OAuth di alcuni utenti, incluso un token associato a un account Google Workspace di un dipendente Vercel. Sebbene Vercel non sia un cliente di Context.ai, il dipendente utilizzava la Context AI Office Suite con accesso completo.
«L'attaccante ha sfruttato questo accesso per prendere il controllo dell'account Google Workspace del dipendente Vercel, ottenendo l'accesso ad alcuni ambienti e variabili d'ambiente di Vercel non contrassegnate come sensibili», ha dichiarato l'azienda nel suo bollettino. Vercel ha precisato che solo un numero limitato di clienti è stato colpito e che questi sono stati immediatamente avvisati di ruotare le credenziali.
Il CEO di Vercel, Guillermo Rauch, ha sottolineato che i dati dei clienti memorizzati dall'azienda sono completamente crittografati, ma l'attaccante ha ottenuto ulteriori accessi tramite enumerazione, cioè contando e inventariando variabili specifiche. «Crediamo che il gruppo attaccante sia altamente sofisticato e, sospetto fortemente, abbia accelerato le proprie azioni grazie all'AI», ha scritto su X. «Si sono mossi con una velocità e una comprensione approfondita di Vercel sorprendenti».
Un gruppo di minaccia che si fa chiamare ShinyHunters ha rivendicato l'attacco su Telegram, affermando di voler vendere i dati rubati, inclusi chiavi di accesso, codice sorgente e database. Tuttavia, secondo Austin Larsen, analista principale delle minacce di Google Threat Intelligence, «è probabile che si tratti di un impostore che cerca di aumentare la propria notorietà sfruttando un nome noto».
Vercel ha anche avvertito che l'attacco all'app OAuth di Google Workspace di Context.ai «è stato parte di una compromissione più ampia, potenzialmente coinvolgendo centinaia di utenti in molte organizzazioni». L'azienda ha pubblicato indicatori di compromissione e invitato i clienti a revisionare i log di attività, controllare e ruotare le variabili contenenti segreti.
Sia Vercel che Context.ai hanno confermato che le loro indagini separate e coordinate, supportate da CrowdStrike e Mandiant, sono ancora in corso.
Articoli correlati
Nuova vulnerabilità zero-day di Cisco sfruttata attivamente: gruppo di minaccia persistente colpisce SD-WAN
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
L'IA avanzata rivoluzionerà la guerra, avverte un alto ufficiale del Pentagono
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Cybersecurity: l'identità digitale diventa cruciale nell'era dell'IA secondo la Casa Bianca
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn subisce un attacco informatico: ransomware Nitrogen colpisce stabilimenti nordamericani
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
App di analisi delle feci con IA: in vendita un database con 150mila immagini di utenti
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
AI supera ogni benchmark: i nuovi modelli autonomi rivoluzionano la cybersecurity
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
La Camera indaga sul modello AI Mythos di Anthropic: audizioni e rischi informatici in primo piano
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
AI come arma: il nuovo fronte della frode e dello spoofing delle identità
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...