Vercel OAuth Next.js cyberangrep Roblox datalekkasje sikkerhetsbrudd skadevare Context.ai sky-sikkerhet

Angrep via tredjepartssystemer

Utviklingsplattformen Vercel har varslet om et sikkerhetsbrudd der en angriper har beveget seg gjennom flere interne systemer for å stjele legitimasjonsinformasjon og annen sensitiv data. Hendelsen ble oppdaget og rapportert i en sikkerhetsbulletin publisert søndag.

Angrepet hadde ikke sin opprinnelse hos Vercel selv, men utnyttet svakheter i tilkoblede skyapplikasjoner og SaaS-integrasjoner med for høye tillatelser. Angriperen beveget seg gjennom tredjepartssystemer og eksponerte tilkoblinger som var blitt etterlatt av ansatte, før det nådde frem til selskapet basert i San Francisco.

Malware skjult som Roblox-hack

Forskerne hos Hudson Rock sporet angrepets opprinnelse tilbake til februar, da en ansatt hos Context.ai fikk infisert datamaskinen med skadevare kalt Lumma Stealer. Infeksjonen skjedde etter at ansatte søkte etter exploits til Roblox-spillet, en kjent metode for å distribuere informasjonsstjelende malware.

Context.ai har erkjent at bruddet førte til at angriperen fikk tilgang til deres AWS-miljø og OAuth-tokens for noen brukere, inkludert et token tilhørende en Vercel-ansatt sin Google Workspace-konto. Selv om Vercel ikke er kunde hos Context.ai, hadde den ansatte gitt Context.ai full tilgang til sin Google Workspace-konto gjennom Context AI Office Suite.

Angriperen utnyttet OAuth-token

«Angriperen brukte tilgangen til å overta den ansattes Vercel Google Workspace-konto, noe som gjorde det mulig å få tilgang til noen av Vercel sine miljøer og miljøvariabler som ikke var merket som sensitive,» skriver Vercel i sin bulletin.

Selskapet opplyser at et begrenset antall kunder er berørt og har blitt varslet om å rotere sine legitimasjonsopplysninger umiddelbart. Vercel har imidlertid ikke svart på spørsmål om hvilke interne systemer som ble tilgjengeliggjort eller fullstendig forklart hvordan angriperen fikk tilgang til kunders legitimasjonsinformasjon.

Kundetdata var kryptert, men angriperen kom seg videre

Vercel-sjef Guillermo Rauch understreker at kundedata lagret av selskapet er fullstendig kryptert. Likevel klarte angriperen å komme seg videre ved hjelp av enumerering – en teknikk der angriperen teller og kartlegger spesifikke variabler.

«Vi mener at angrepsgruppen er svært sofistikert, og mistenker at de har fått betydelig hjelp av AI,» skrev Rauch i et innlegg på X. «De beveget seg med overraskende hastighet og en dyp forståelse av Vercel.»

ShinyHunters krever oppmerksomhet – men er det en bløff?

En trusselgruppe som kaller seg ShinyHunters har tatt på seg ansvaret for angrepet i et innlegg på Telegram. Gruppen forsøker å selge stjålet data, som de påstår inkluderer tilgangsnøkler, kildekode og databaser.

«Det er sannsynlig at dette er en bedrager som forsøker å utnytte et etablert navn for å øke sin egen notoritet,» skriver Austin Larsen, hovedtrusselanalytiker hos Google Threat Intelligence, i et innlegg på LinkedIn. «Uansett hvilken trusselaktør som står bak, er eksponeringsrisikoen reell.»

Vercel og Context.ai samarbeider om etterforskning

Vercel advarer også om at angrepet på Context.ai sin Google Workspace OAuth-app «var en del av et bredere kompromittert system, som potensielt kan ha påvirket hundrevis av brukere på tvers av mange organisasjoner.» Selskapet har publisert indikatorer på kompromittering og oppfordrer kunder til å gjennomgå aktivitetslogger, samt rotere og gjennomgå variabler som inneholder hemmelige verdier.

Både Vercel og Context.ai opplyser at deres separate og koordinerte etterforskninger, støttet av CrowdStrike og Mandiant, pågår fortsatt.

Kilde: CyberScoop
Høyesterett unngikk avgjørelse i Foote-saken etter Mirabelli-dommen
← Forrige

Høyesterett unngikk avgjørelse i Foote-saken etter Mirabelli-dommen

 Nvidia-sjefen mistet fatningen under hard kritikk om Kina-salg
Neste →

Nvidia-sjefen mistet fatningen under hard kritikk om Kina-salg