Vercel-beveiligingsincident breidt uit: meer klanten getroffen dan eerder gemeld

Het cloudplatform Vercel heeft bevestigd dat de gevolgen van een recente cyberaanval op zijn interne systemen verder reiken dan eerder werd gemeld. Uit lopend onderzoek blijkt dat meer klanten zijn getroffen dan aanvankelijk werd aangenomen. Het bedrijf, bekend van tools als Next.js en het hosten van cloudinfrastructuur voor ontwikkelaars, spreekt over een ‘klein aantal’ getroffen accounts, maar deelt nog geen exacte aantallen of schadeomvang.

Onderzoek wijst op grotere impact dan eerst gedacht

Vercel, dat wekelijks meer dan 9 miljoen downloads van Next.js registreert, onderzoekt samen met partners bijna een petabyte aan logbestanden van het netwerk en de API. Uit de analyse blijkt dat de kwaadwillende activiteit niet beperkt bleef tot de initiële aanval, die begon bij Context.ai, een derde partij die AI-tools ontwikkelt.

Volgens Guillermo Rauch, CEO van Vercel, zijn er aanwijzingen dat malware is verspreid naar computers op zoek naar waardevolle tokens, zoals sleutels voor Vercel-accounts en andere diensten. Zodra aanvallers deze sleutels bemachtigen, volgt volgens de logs een patroon van intensief API-gebruik, gericht op het in kaart brengen van niet-gevoelige omgevingsvariabelen.

OAuth-tokens en vertrouwensrelaties vormen risico

De aanval benadrukt de risico’s van onderling verbonden systemen die vertrouwen op OAuth-tokens, overmatige rechten en gekoppelde diensten. Munish Walther-Puri, hoofd kritieke digitale infrastructuur bij TPO Group, waarschuwt:

‘De echte kwetsbaarheid zat in vertrouwen, niet in technologie. OAuth maakte een productiviteitstool tot een achterdeur. Elke AI-tool die een medewerker koppelt aan zijn werkaccount, vormt nu een potentieel aanvalsvlak.’

De aanvallers wisten zich toegang te verschaffen tot interne systemen van Vercel en slaagden erin klantgegevens, waaronder omgevingsvariabelen, te stelen en te ontsleutelen. Dit brengt aanzienlijke downstream-risico’s met zich mee voor de getroffen klanten.

Oorsprong van de aanval: een besmette computer bij Context.ai

Vercel wijst de oorsprong van de aanval toe aan Context.ai, een derde partij die een medewerker van Vercel gebruikte. Onderzoekers van Hudson Rock meldden eerder dat de basis voor deze aanval al in februari werd gelegd, toen een medewerker van Context.ai besmet raakte met de Lumma Stealer-malware. Deze malware verspreidt zich vaak via zoekopdrachten naar exploits voor games zoals Roblox.

Vercel heeft nog niet duidelijk gemaakt welke systemen en klantgegevens precies zijn gecompromitteerd. Ook is er geen informatie over de huidige status van de dreiging of de getroffen maatregelen. Het bedrijf stelt wel dat er geen bewijs is gevonden van manipulatie in de softwarepakketten die het publiceert. ‘We geloven dat de toeleveringsketen veilig blijft,’ aldus Vercel.

Nieuwe compromissen ontdekt, mogelijk niet gerelateerd

In een verrassende wending meldt Vercel dat er ook een ‘klein aantal’ klanten is getroffen door aanvallen die niet direct verband houden met de inbraak in de eigen systemen. ‘Deze compromissen lijken niet afkomstig te zijn van Vercel-systemen,’ aldus het bedrijf. ‘Deze activiteiten vormen geen voortzetting of uitbreiding van het incident van april en lijken ook geen bewijs te zijn van een eerder onbekend beveiligingsincident bij Vercel.’

Het is nog onduidelijk hoe Vercel op de hoogte is gekomen van deze aanvallen en waarom het deze nu openbaar maakt. Het bedrijf weigerde vragen te beantwoorden, en Mandiant, dat het incidentonderzoek uitvoert, verwees terug naar Vercel. Ook de toewijzing van de aanval aan een specifieke dreigingsgroep is nog niet bekend.