Spektakularny przypadek naruszenia bezpieczeństwa pokazuje, jak złożone mogą być współczesne cyberataki. Firma Vercel, popularna wśród programistów platforma hostingowa, padła ofiarą włamania, którego źródłem był pracownik zupełnie innej firmy pobierający cheaty do gier. Szczegóły tego niezwykłego incydentu opisuje serwis Niebezpiecznik.
19 kwietnia na hackerskim forum pojawiły się doniesienia o włamaniu do Vercela, firmy stojącej za popularnym narzędziem v0 oraz biblioteką Next.js. Atakujący podszywający się pod grupę ShinyHunters wystawili na sprzedaż klucze i dostępy do bazy danych firmy.
Kluczowe wnioski
• Łańcuch infekcji: Atak rozpoczął się od pracownika firmy Contex.ai, który 17 lutego pobrał zainfekowane cheaty do gry Roblox z malware'em Lumma Stealer
• Błąd uprawnień OAuth: Pracownik Vercela zalogował się do narzędzi Contex.ai służbowym kontem Google Workspace, nadając pełne uprawnienia ("allow all")
• Eskalacja poprzez support: Atakujący przejęli skrzynkę support@contex.ai i wykorzystali ją do "zpivotowania" do infrastruktury Vercela
• Fałszywa atrybucja: Prawdziwa grupa ShinyHunters zaprzeczyła na Telegramie swojemu udziałowi w ataku
• Sposób wykrywania: Firmy mogą sprawdzić kompromitację szukając ID aplikacji "110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent[.]com" w Google Admin Console
Anatomia ataku: od cheatów do infrastruktury korporacyjnej
Cały incydent rozpoczął się od pozornie niewinnej aktywności - pobrania cheatów do popularnej gry Roblox przez pracownika firmy Contex.ai. Niestety, pliki te zawierały infostealer Lumma, który przejął kontrolę nad komputerem pracownika i uzyskał dostęp do jego uprawnień w różnych usługach, w tym Supabase, Datadog i Authkit.
Kluczowym elementem była kompromitacja skrzynki support@contex.ai, która stała się mostem do infrastruktury Vercela. Drugi pracownik - tym razem z Vercela - popełnił krytyczny błąd, logując się do narzędzi Contex.ai służbowym kontem Google Workspace i przyznając aplikacji pełne uprawnienia OAuth.
Jak podkreśla CEO Vercela w oficjalnym oświadczeniu: "Vercel nie jest klientem Context, ale wydaje się, że przynajmniej jeden pracownik włączył 'allow all' na wszystkie żądane uprawnienia Google Workspace używając swojego konta Vercel Google Workspace".
Ochrona przed podobnymi atakami
Incident pokazuje wagę właściwej konfiguracji uprawnień OAuth i monitorowania dostępów zewnętrznych aplikacji. Firmy korzystające z Google Workspace mogą sprawdzić potencjalne zagrożenie w panelu Google Admin Console, przechodząc do sekcji Security → Access and Data Control → API Controls → Manage app access → Accessed Apps.
Szczególną uwagę należy zwrócić na aplikację z ID "110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent[.]com". Jej obecność na liście może oznaczać kompromitację środowiska i wymaga natychmiastowego usunięcia dostępów oraz rotacji tokenów i haseł.
Vercel zaleca swoim klientom rotację wszystkich sekretów i "sensitive variables" oraz rozważenie korzystania z zewnętrznych Secret Managerów. Incident przypomina również o konieczności edukacji pracowników w zakresie cyberbezpieczeństwa i stosowania zasady minimalnych przywilejów.
Ten przypadek dowodzi, że współczesne cyberataki często wykorzystują łańcuch pozornie niepowiązanych błędów, a skuteczna ochrona wymaga holistycznego podejścia do bezpieczeństwa IT.
