Vulnerabilidade em Vercel: ataque começa com malware disfarçado de cheats do Roblox

Vulnerabilidade expõe clientes da Vercel após ataque em cadeia

A Vercel, empresa responsável por ferramentas como o Next.js, informou em comunicado que clientes podem ter tido dados sensíveis comprometidos após um ataque que se propagou por múltiplos sistemas internos. A invasão não teve origem direta na Vercel, mas aproveitou falhas em integrações de terceiros com permissões excessivas.

Cadeia de invasão começou com malware em funcionário

Segundo pesquisadores da Hudson Rock, o ataque teve início em fevereiro, quando um funcionário da Context.ai teve seu computador infectado com o malware Lumma Stealer. A infecção ocorreu após busca por exploits do jogo Roblox, vetor comum para disseminação de infostealers.

A Context.ai, empresa de IA, admitiu que o ataque permitiu ao invasor acessar seu ambiente AWS e tokens OAuth de alguns usuários, incluindo um token vinculado à conta do Google Workspace de um funcionário da Vercel. Embora a Vercel não seja cliente da Context.ai, o funcionário havia concedido acesso total à suíte de escritório da empresa.

"O invasor usou esse acesso para assumir a conta do Google Workspace do funcionário da Vercel, o que possibilitou o acesso a alguns ambientes e variáveis de ambiente não marcadas como sensíveis."

Impacto limitado, mas risco de credenciais comprometidas

A Vercel afirmou que apenas um número limitado de clientes foi afetado e já foi orientado a rotacionar suas credenciais. A empresa não detalhou quais sistemas internos foram acessados nem como os invasores obtiveram as credenciais dos clientes.

O CEO da Vercel, Guillermo Rauch, destacou que os dados armazenados pela empresa são criptografados, mas o invasor avançou por meio de enumeração — técnica que consiste em inventariar variáveis específicas.

"Acreditamos que o grupo atacante seja altamente sofisticado e, suspeito fortemente, significativamente acelerado por IA. Eles agiram com velocidade surpreendente e profundo conhecimento da Vercel."

Grupo ShinyHunters alega responsabilidade, mas especialistas duvidam

Um grupo chamado ShinyHunters afirmou, em publicação no Telegram, ser responsável pelo ataque e estaria vendendo os dados roubados, que incluiriam chaves de acesso, códigos-fonte e bancos de dados. No entanto, Austin Larsen, analista-chefe de ameaças da Google Threat Intelligence, levantou suspeitas de que se trata de um impostor tentando inflar sua notoriedade.

Larsen afirmou, em postagem no LinkedIn, que "independentemente do grupo envolvido, o risco de exposição é real".

Vercel e Context.ai investigam ataque coordenado

A Vercel alertou que o ataque à aplicação OAuth da Context.ai no Google Workspace "foi parte de um comprometimento mais amplo, potencialmente afetando centenas de usuários em diversas organizações". A empresa publicou indicadores de comprometimento e recomendou que clientes revisem logs de atividade e rotacionem variáveis contendo segredos.

Tanto a Vercel quanto a Context.ai afirmaram que suas investigações, conduzidas em conjunto com a CrowdStrike e Mandiant, continuam em andamento.