Взлом Vercel начался с вредоносной программы под видом читов для Roblox

Компания Vercel, разработчик платформы для развертывания приложений и создатель фреймворка Next.js, сообщила о возможной компрометации данных своих клиентов после многоступенчатой атаки, в результате которой были похищены учетные данные и другая чувствительная информация.

Как следует из опубликованного компанией бюллетеня по безопасности, атака не началась с систем Vercel напрямую. Злоумышленники использовали уязвимости в интеграциях с третьими сервисами и избыточные разрешения, чтобы проникнуть в корпоративную инфраструктуру.

Как началась атака: заражение через Roblox

По данным исследователей из Hudson Rock, атака началась в феврале 2024 года, когда компьютер сотрудника компании Context.ai был заражен вредоносным ПО Lumma Stealer. Злоумышленники распространяли его под видом читов для популярной игры Roblox — распространенный метод для установки информационных ворователей.

Заражение позволило атакующим получить доступ к облачной инфраструктуре Context.ai, включая AWS и OAuth-токены некоторых пользователей. Среди похищенных данных оказался токен для аккаунта Google Workspace одного из сотрудников Vercel, который использовал Context AI Office Suite с полным доступом.

Как злоумышленники проникли в системы Vercel

Используя украденный токен, атакующие получили доступ к аккаунту сотрудника Vercel в Google Workspace. Это позволило им проникнуть в некоторые среды Vercel и извлечь переменные окружения, которые не были помечены как конфиденциальные.

Компания заявила, что ограниченное число клиентов могло быть затронуто и уже получила рекомендации по смене учетных данных. Однако Vercel не раскрыла, какие именно внутренние системы были скомпрометированы, и не предоставила полную информацию о методах доступа к данным клиентов.

Генеральный директор Vercel Гильермо Раух отметил, что данные клиентов компании хранятся в зашифрованном виде, но атакующие получили дополнительный доступ через перечисление и инвентаризацию переменных окружения.

«Мы считаем, что атакующая группа обладает высокой квалификацией, и подозреваем, что их действия были значительно ускорены с помощью ИИ. Они действовали с удивительной скоростью и глубоким пониманием внутренних процессов Vercel».

Глава компании также добавил, что, по его мнению, атака была «высоко координированной и автоматизированной».

Кто стоит за атакой и что похищено

В Telegram группа ShinyHunters взяла на себя ответственность за атаку и заявила о продаже похищенных данных, включая ключи доступа, исходный код и базы данных. Однако эксперты из Google Threat Intelligence предполагают, что это может быть подставная группа, пытающаяся завоевать авторитет.

Остин Ларсен, главный аналитик угроз, отметил:

«Скорее всего, это самозванцы, использующие известное имя для повышения собственной репутации. Однако риск утечки данных реален вне зависимости от того, кто именно стоит за атакой».

Компания Vercel также предупредила, что атака на OAuth-приложение Context.ai в Google Workspace могла затронуть «сотни пользователей из разных организаций». Она опубликовала индикаторы компрометации и призвала клиентов проверить журналы активности, а также сменить все секретные переменные.

Расследование продолжается

Как Vercel, так и Context.ai заявили, что ведут отдельные и скоординированные расследования при поддержке таких экспертов по кибербезопасности, как CrowdStrike и Mandiant.