Atak na Vercel rozpoczął się od złośliwego oprogramowania podszywającego się pod cheaty do Robloxa

Atak na Vercel rozpoczął się od złośliwego oprogramowania

Firma Vercel poinformowała o naruszeniu bezpieczeństwa, do którego doszło poprzez atak hakerski, który pozwolił napastnikowi na przejście przez wiele wewnętrznych systemów i kradzież danych uwierzytelniających oraz innych wrażliwych informacji. Incydent został ujawniony w niedzielnym biuletynie bezpieczeństwa.

Wykorzystanie podatności w powiązanych usługach chmurowych

Atak nie rozpoczął się bezpośrednio w systemach Vercel, lecz w trzecich systemach i połączeniach pozostawionych przez pracowników. Według ekspertów z Hudson Rock, atak został zainicjowany w lutym, kiedy komputer pracownika firmy Context.ai został zainfekowany złośliwym oprogramowaniem Lumma Stealer. Do infekcji doszło po wyszukaniu przez pracownika exploitów do gry Roblox – popularnego wektora ataków typu infostealer.

Przebieg ataku

Context.ai poinformowało, że naruszenie pozwoliło napastnikowi na uzyskanie dostępu do środowiska AWS firmy oraz tokenów OAuth niektórych użytkowników, w tym tokena konta Google Workspace pracownika Vercel. Choć Vercel nie jest klientem Context.ai, pracownik używał pakietu Context AI Office Suite i udzielił mu pełnego dostępu. Firma AI wyjaśniła, że „napastnik wykorzystał ten dostęp, aby przejąć konto Google Workspace pracownika Vercel, co umożliwiło mu dostęp do niektórych środowisk i zmiennych środowiskowych Vercel, które nie zostały oznaczone jako wrażliwe”.

Vercel poinformowało, że niewielka liczba klientów została dotknięta incydentem i została niezwłocznie poinformowana o konieczności rotacji haseł. Firma nie odpowiedziała na pytania dotyczące szczegółów ataku ani nie wyjaśniła, w jaki sposób napastnik uzyskał dostęp do danych uwierzytelniających klientów Vercel.

Oświadczenie CEO Vercel

Guillermo Rauch, CEO Vercel, stwierdził, że dane klientów przechowywane przez firmę są w pełni zaszyfrowane, jednak napastnik uzyskał dodatkowy dostęp poprzez enumerację, czyli inwentaryzację określonych zmiennych. „Uważamy, że grupa atakująca jest wysoce wyspecjalizowana, a podejrzewam, że znacząco wspomagana przez AI”, napisał w poście na platformie X. „Poruszali się z zaskakującą prędkością i dogłębnym zrozumieniem systemów Vercel”.

Grupa ShinyHunters przyznaje się do ataku

Grupa ShinyHunters, identyfikująca się jako sprawcy ataku, opublikowała wiadomość na Telegramie, w której twierdzi, że sprzedaje skradzione dane, w tym klucze dostępu, kod źródłowy i bazy danych. Jednak Austin Larsen, główny analityk zagrożeń w Google Threat Intelligence, ocenił, że „prawdopodobnie jest to oszust, który używa znanego imienia, aby zwiększyć swoją rozpoznawalność”.

Niezależnie od tożsamości sprawcy, ryzyko naruszenia danych jest realne. Vercel ostrzegło również, że atak na aplikację OAuth Google Workspace Context.ai „był częścią szerszego naruszenia, które potencjalnie dotyczy setek użytkowników w wielu organizacjach”. Firma opublikowała wskaźniki kompromitacji i zachęciła klientów do przeglądania dzienników aktywności oraz rotacji zmiennych zawierających tajne dane.

Dochodzenie w toku

Zarówno Context.ai, jak i Vercel prowadzą oddzielne i skoordynowane dochodzenia w sprawie ataku, wspierane przez firmy CrowdStrike i Mandiant. Dochodzenie nadal trwa.

Artykuł Atak na Vercel rozpoczął się od złośliwego oprogramowania podszywającego się pod cheaty do Robloxa ukazał się pierwotnie na portalu CyberScoop.