Vercel’in Güvenlik Sızması: Roblox Hileleriyle Gizlenen Malware Saldırısı

Vercel Müşterileri Saldırı Riskiyle Karşı Karşıya

Vercel, Pazar günü yayınlanan güvenlik bülteninde, saldırganın çok sayıda iç sistemi dolaşarak kimlik bilgileri ve diğer hassas verileri çalması nedeniyle müşterilerinin riske girdiğini duyurdu. Saldırı, doğrudan Vercel’den başlamamış olsa da, bulut uygulamalarının ve SaaS entegrasyonlarının aşırı yetkili izinleriyle bağlantılı riskleri gözler önüne serdi.

Saldırgan, üçüncü taraf sistemler ve çalışanlar tarafından açık bırakılan bağlantılar üzerinden ilerleyerek San Francisco merkezli şirkete ulaştı. Next.js ve diğer popüler açık kaynak kütüphanelerini geliştiren ve sürdüren Vercel, saldırının Context.ai adlı bir yapay zeka şirketinden kaynaklandığını belirtti.

Saldırı Nasıl Başladı?

Hudson Rock araştırmacıları, saldırının tohumlarının Şubat ayında atıldığını açıkladı. Context.ai çalışanlarından birinin bilgisayarına, Roblox oyun exploit’leri ararken bulaşan Lumma Stealer malware’i, saldırının ilk adımı oldu. Bu malware türü, genellikle bilgi hırsızlığı saldırıları için kullanılıyor.

Context.ai, saldırının kendi AWS ortamına erişim sağladığını ve bazı kullanıcıların OAuth token’larına, dahilinde bir Vercel çalışanının Google Workspace hesabına ait token’ın da bulunduğunu doğruladı. Vercel, Context.ai’nin müşterisi olmasa da, çalışanın Context AI Office Suite’i kullanarak tam erişim izni verdiği ortaya çıktı.

"Saldırgan, çalışanın Vercel Google Workspace hesabını ele geçirerek, Vercel ortamlarına ve hassas olarak işaretlenmeyen ortam değişkenlerine erişim sağladı."

Etkilenen Müşteriler ve Verilerin Korunması

Vercel, sınırlı sayıda müşterinin etkilendiğini ve bu müşterilerin kimlik bilgilerini hemen değiştirmeleri konusunda uyarıldığını bildirdi. Şirket, hangi iç sistemlere erişildiği veya müşteri kimlik bilgilerinin nasıl çalındığına dair ayrıntıları paylaşmadı.

Vercel CEO’su Guillermo Rauch, şirketin müşteri verilerinin tamamen şifrelendiğini belirtti. Ancak saldırganın, değişkenleri sayarak ve envanterleyerek (enumeration yöntemiyle) daha da ilerlediğini ifade etti.

"Saldırgan grubun oldukça sofistike olduğunu ve AI tarafından önemli ölçüde hızlandırıldığını düşünüyorum. Vercel’in yapısını derinlemesine anlayarak şaşırtıcı bir hızla ilerlediler."

Sorumluluk ve Tehdit Aktörleri

ShinyHunters adlı tehdit grubu, Telegram üzerinden yaptığı açıklamada saldırıyı üstlendi ve çalınan verileri (erişim anahtarları, kaynak kodları ve veritabanlarını) satmaya çalıştığını iddia etti. Ancak Google Threat Intelligence baş analisti Austin Larsen, bu grubun tanınmış bir isim kullanarak itibar kazanmaya çalışan sahte bir aktör olabileceği uyarısında bulundu.

Vercel, saldırının Context’in Google Workspace OAuth uygulaması üzerinden gerçekleştiğini ve yüzlerce kullanıcıyı etkileyebilecek daha geniş bir saldırının parçası olabileceğini belirtti. Şirket, etkililik göstergeleri (IoC) yayınladı ve müşterilerini faaliyet günlüklerini incelemeye, gizli değişkenleri gözden geçirmeye ve değiştirmeye çağırdı.

Saldırıların Ardındaki Gerçekler

Vercel ve Context.ai, CrowdStrike ve Mandiant desteğiyle saldırıya ilişkin ayrı ve koordineli soruşturmaların devam ettiğini açıkladı. Her iki şirket de saldırıda karşılıklı sorumluluk üstlendiler.

Bulut tabanlı sistemlerin ve üçüncü taraf entegrasyonların güvenliği, şirketlerin dikkat etmesi gereken kritik konular arasında yer alıyor. Aşırı yetkili izinler ve yetersiz izleme, saldırganlara kapı aralayabiliyor.

• Çalışanların güvenliği: Malware bulaşmasını önlemek için güvenilir kaynaklardan yazılım indirilmeli ve düzenli güvenlik eğitimleri verilmelidir.
• Üçüncü taraf riskleri: SaaS uygulamaları ve bulut hizmetleri, aşırı yetkili erişimlere izin vermemek için dikkatle incelenmelidir.
• OAuth token’larının yönetimi: Token’lar düzenli olarak gözden geçirilmeli ve gerektiğinde yenilenmelidir.
• İzleme ve yanıt: Anormal faaliyetler için sürekli izleme yapılmalı ve hızlı müdahale planları oluşturulmalıdır.