Los clientes de Vercel corren el riesgo de verse comprometidos después de que un atacante saltó a través de múltiples sistemas internos para robar credenciales y otros datos confidenciales, dijo la compañía en un boletín de seguridad Domingo.

El ataque, que no se originó en Vercel, muestra los peligros de las aplicaciones en la nube interconectadas y las integraciones SaaS con permisos demasiado privilegiados.

Un atacante atravesó sistemas y conexiones de terceros que los empleados dejaron expuestos antes de atacar a la empresa con sede en San Francisco que creó y mantiene Next.js y otras bibliotecas populares de código abierto.

Los investigadores de Hudson Rock dijeron que las semillas del ataque se plantaron en febrero cuando la computadora de un empleado de Context.ai fue infectado con el malware Lumma Stealer después de buscar exploits en juegos Roblox, un vector común para implementaciones de robo de información.

Cada una de las empresas atribuye al menos parte de la culpa del ataque al otro proveedor.

Context.ai dijo el domingo que la violación permitió al atacante acceder a su entorno AWS y tokens OAuth para algunos usuarios, incluido un token para el espacio de trabajo de Google de un empleado de Vercel cuenta. Vercel no es cliente de Context, pero el empleado de Vercel estaba usando Context AI Office Suite y le otorgó acceso completo, dijo la compañía de agentes de inteligencia artificial.

«El atacante utilizó ese acceso para apoderarse de la cuenta Vercel Google Workspace del empleado, lo que le permitió obtener acceso a algunos entornos y variables de entorno de Vercel que no estaban marcados como confidenciales», dijo Vercel en su boletín.

La compañía dijo que un número limitado de sus clientes se ven afectados y se les recomendó de inmediato que rotaran las credenciales. La compañía, que se negó a responder preguntas, no especificó a qué sistemas internos se accedió ni explicó completamente cómo el atacante obtuvo acceso a las credenciales de los clientes de Vercel.

El director ejecutivo de Vercel, Guillermo Rauch, dijo que los datos de los clientes almacenados por la empresa están completamente encriptados, pero el atacante obtuvo más acceso mediante enumeración o contando e inventariando variables específicas.

«Creemos que el grupo atacante es muy sofisticado y, sospecho firmemente, significativamente acelerado por la IA», dijo en un publicar en X. «Se movieron con una velocidad sorprendente y un conocimiento profundo de Vercel».

Un grupo de amenazas que se identifica como ShinyHunters asumió la responsabilidad del ataque en una publicación en Telegram y está intentando vender los datos robados, que, según afirman, incluyen claves de acceso, código fuente y bases de datos.

El atacante «es probablemente un impostor que intenta utilizar un nombre establecido para inflar su notoriedad», escribió Austin Larsen, analista principal de amenazas de Google Threat Intelligence, en un publicación en LinkedIn. «Independientemente del actor de amenaza involucrado, el riesgo de exposición es real».

Vercel también advirtió que el ataque a la aplicación Google Workspace OAuth de Context «fue objeto de un compromiso más amplio, que potencialmente afectó a sus cientos de usuarios en muchas organizaciones». Publicó indicadores de compromiso y alentó a los clientes a revisar registros de actividad, revisar y rotar variables que contienen secretos.

Context y Vercel dijeron que sus investigaciones separadas y coordinadas sobre el ataque con la ayuda de CrowdStrike y Mandiant siguen en marcha.