Kiberbiztonsági incidens érte a Vercel webinfrastruktúra-szolgáltatót, amely során a támadók jogosulatlan hozzáférést szereztek a vállalat egyes belső rendszereihez. A vizsgálatok szerint az incidens kiváltó oka a vállalat egyik alkalmazottja által használt, harmadik féltől származó mesterséges intelligencia eszköz, a Context.ai kompromittálódása volt.

A Vercel tájékoztatása alapján a Context.ai rendszerének feltörése lehetővé tette, hogy a támadók az érintett alkalmazott Google Workspace-fiókján keresztül további hozzáféréseket szerezzenek, majd behatoljanak a Vercel bizonyos belső környezeteibe. A vállalat hangsúlyozta, hogy az „érzékeny” jelöléssel ellátott változók titkosított tárolása megakadályozta azok kiolvasását.

Az incidens során a támadó tevékenysége gyors és célzott volt, ami a Vercel szerint a célrendszer mélyebb ismeretére utalhat. A vállalat a vizsgálat lefolytatásához a Mandiant kiberbiztonsági céggel és más szakértőkkel működik együtt, továbbá értesítette a bűnüldöző hatóságokat, valamint egyeztetést folytat a Context.ai-jal is.

A Vercel közlése szerint az incidens korlátozott számú ügyfelet érintett. A hitelesítési adatok kompromittálódása miatt azonban azonnali kulcs- és jelszócsere vált szükségessé. A vállalat felvette a kapcsolatot az érintett ügyfelekkel, és javasolta számukra a hitelesítési adatok haladéktalan cseréjét. A vizsgálat jelenleg is folyamatban van az esetleges további adatszivárgás mértékének feltárása érdekében, és szükség esetén a Vercel további értesítést küld az érintetteknek.

A kockázatok csökkentése érdekében a Vercel a Google Workspace-adminisztrátorok és -felhasználók számára az alábbi OAuth-alkalmazás ellenőrzését javasolja:

110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

Emellett az alábbi biztonsági intézkedések javasoltak:

• A naplófájlokellenőrzése a gyanús tevékenységek azonosítása érdekében.
• Az olyan környezeti változók (environment variables) auditálása és cseréje, amelyek hitelesítési adatokat tartalmaznak, de nincsenek érzékenyként megjelölve. A megfelelő védelem érdekében érzékeny környezeti változókhasználata javasolt.
• A legutóbbi deploymentek vizsgálata váratlan vagy gyanús elemek keresése céljából, valamint a Deployment Protectionlegalább Standard szintre állítása.
• A Deployment Protectiontokenek cseréje, amennyiben azok használatban vannak.

Bár a Vercel egyelőre nem tett közzé részletes információkat arról, hogy pontosan mely rendszerek érintettek, illetve hány ügyfelet érint az incidens, a ShinyHunters néven ismert csoport magára vállalta a támadást.

A Hudson Rock elemzése szerint a támadás kiindulópontja egy információlopó kártevő, a Lumma Stealer lehetett. A támadás során a megszerzett vállalati hitelesítési adatok között Google Workspace hozzáférések, valamint a Supabase, a Datadog és az Authkit rendszerekhez tartozó kulcsok és bejelentkezési adatok is szerepeltek. Az ellopott adatok között megtalálható a „support@context.ai” fiók is, amely vélhetően lehetővé tette a támadók számára a jogosultságok kiterjesztését, a biztonsági kontrollok megkerülését, valamint a laterális mozgást a Vercel infrastruktúráján belül.

A naplóadatok elemzése alapján a felhasználó korábban videójátékkal kapcsolatos csalásokat keresett és töltött le, például Roblox „auto-farm” szkripteket és a szkriptek futtatására szolgáló eszközöket. A kiberbiztonsági elemzés szerint az ilyen típusú letöltések gyakori fertőzési vektorai a Lumma Stealer kártevőnek.