Облачная платформа для разработчиков Vercel сообщила о взломе. При этом злоумышленники заявляют, что получили доступ к внутренним системам компании и уже продают похищенные данные в даркнете.
Vercel — облачная платформа, предоставляющая инфраструктуру для хостинга и деплоя. В первую очередь компания известна как разработчик Next.js (популярного React-фреймворка), а также предлагает serverless-функции, edge computing и CI/CD-пайплайны.
В свежем бюллетене безопасности представители компании сообщают, что обнаруженный инцидент затронул ограниченную группу клиентов.
«Мы выявили инцидент безопасности, связанный с несанкционированным доступом к ряду внутренних систем Vercel. Расследование ведется при участии привлеченных экспертов по реагированию на инциденты. Также о случившемся уже уведомлены правоохранительные органы», — говорится в заявлении компании.
В Vercel подчеркивают, что атака не сказалась на работоспособности сервисов компании, а также не затронула что Next.js, Turbopack и другие опенсорсные проекты.
Пострадавшим клиентам рекомендовали проверить переменные окружения (environment variables), воспользоваться функцией маркировки чувствительных переменных и при необходимости сменить секреты.
Позже в Vercel уточнили, что взлом начался с компрометации стороннего ИИ-инструмента — OAuth-приложения в Google Workspace. Администраторам Google Workspace рекомендовали проверить наличие приложения OAuth App: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com
Глава Vercel Гильермо Раух (Guillermo Rauch) поделился подробностями об инциденте в соцсети X. По его словам, точкой входа стал аккаунт сотрудника Vercel в Google Workspace, скомпрометированный через ИИ-платформу Context.ai. Атакующий сумел повысить привилегии и добраться до переменных окружения, которые не были помечены как конфиденциальные и поэтому хранились незашифрованными.
«В Vercel все переменные окружения клиентов хранятся в зашифрованном виде. У нас действует множество защитных механизмов. Однако есть возможность пометить переменные как "неконфиденциальные". К сожалению, атакующий получил дополнительный доступ именно через их перебор», — пояснил Раух.
Как отмечает издание Bleeping Computer, раскрытие информации об инциденте произошло после того, как на хакерском форуме появился пост от злоумышленника, называющего себя участником группировки ShinyHunters. Он заявил, что взломал Vercel и выставил данные компании на продажу.
В своей публикации хакер предлагает ключи доступа, исходный код и данные из БД, а также доступ к внутренним деплойментам и API-ключам компании, включая токены NPM и GitHub.
Помимо этого, атакующий опубликовал текстовый файл с информацией о сотрудниках Vercel — 580 записей с именами, корпоративными email-адресами, статусами аккаунтов и временными метками активности. Также он приложил к запили скриншот, предположительно демонстрирующий внутренний Enterprise-дашборд Vercel.
В сообщениях в своем Telegram-канале злоумышленник утверждал, что уже вел переговоры с Vercel и потребовал у компании выкуп в размере 2 000 000 долларов США.
При этом хакеры, связанные с недавними атаками ShinyHunters, сообщили журналистами издания, что они не имеют отношения к этому инциденту. Также представители Bleeping Computer подчеркивают, что подлинность опубликованных данных пока не подтверждена независимыми источниками.
