Vercel is gehackt via geïnfecteerde OAuth-app, maar Next.js is nog veilig

In dit artikel:

Cloudontwikkelplatform Vercel — bekend van frameworks zoals Next.js en tools als Turbopack — is slachtoffer geworden van een cyberaanval. Volgens het bedrijf hebben aanvallers via een thirdparty-AI-tool genaamd Context.ai ongeautoriseerde toegang gekregen tot interne Vercel-systemen. Een medewerker gebruikte een geïnfecteerde versie van die tool, waardoor de aanvallers via een OAuth-app in de Google Workspace-omgeving van Vercel konden binnenkomen.

Via die Workspace-toegang hadden de aanvallers ook zicht op sommige Vercel-omgevingen van klanten. Volgens Vercel betreft het vooral niet als “sensitive” gemarkeerde gegevens; cruciale geheimen zoals API-keys, tokens en databasewachtwoorden zouden volgens het bedrijf buiten bereik zijn gehouden omdat ze op een andere, als gevoelig aangemerkte manier worden bewaard. Vercel raadt klanten toch aan hun code te controleren op dergelijke geheimen en bij twijfel sleutels te roteren. Klanten kunnen ook controleren of de kwaadwillende OAuth-app aanwezig is door te zoeken naar het id 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com.

Vercel meldt dat van een klein aantal klanten credentials zijn buitgemaakt en dat die getroffen klanten inmiddels zijn benaderd; het precieze aantal is niet gegeven. Volgens CEO Guillermo Rauch zijn grote projecten zoals Next.js en Turbopack niet geraakt. Onderzoeksberichten wijzen erop dat de ransomwaregroep Shinyhunters mogelijk achter de aanval zit; op een forum zou interne Vercel-data te koop zijn aangeboden, zonder specifieke klantgegevens te noemen.