Hackeurs « hautement sophistiqués » propulsés par l'IA derrière la violation de Vercel : PDG

Le PDG de Vercel a déclaré qu'un groupe de hackers "très sophistiqué", potentiellement assisté par l'IA, était à l'origine d'un récent incident de sécurité qui a exposé certaines informations d'identification de clients suite à une violation des systèmes internes.

"Nous pensons que le groupe d'attaquants est très sophistiqué et, je soupçonne fortement, considérablement accéléré par l'IA", a tweeté le PDG Guillermo Rauch, ajoutant que les attaquants "se sont déplacés avec une vélocité surprenante et une compréhension approfondie de Vercel."

L'entreprise, qui est une plateforme cloud pour les développeurs, a annoncé dimanche avoir identifié un accès non autorisé à certains systèmes internes et menait activement une enquête. L'incident a affecté un sous-ensemble limité de clients dont les informations d'identification ont été compromises, incitant l'entreprise à conseiller une rotation immédiate des informations d'identification.

La violation provient de la compromission de Context.ai, un outil d'IA tiers utilisé par un employé de Vercel, qui a permis aux attaquants de prendre le contrôle du compte Google Workspace de l'employé et d'accéder à certains environnements Vercel et à des variables d'environnement non sensibles.

La divulgation met en évidence les préoccupations croissantes concernant les risques de sécurité posés par les intégrations tierces et les outils alimentés par l'IA, alors que les attaquants exploitent de plus en plus les vulnérabilités de la chaîne d'approvisionnement pour obtenir des points d'ancrage à l'intérieur des organisations.

Vercel et la crypto

Natalie Newson, chercheuse senior en sécurité blockchain chez CertiK, a déclaré à Decrypt que l'événement a déclenché une urgence parmi les développeurs crypto en particulier. "Parce que de nombreux frontends crypto utilisent Vercel pour héberger leur interface utilisateur, une violation peut permettre aux attaquants d'implanter un draineur de portefeuille. Les utilisateurs interagissant avec une page de confiance ne s'attendront pas à ce que quelque chose de malveillant se produise", a-t-elle déclaré, ajoutant que "Les exploits dans l'espace crypto peuvent entraîner des pertes financières substantielles."

Même si les smart contracts restent sécurisés, les compromissions frontend posent toujours des risques. "Les compromissions frontend peuvent être particulièrement dommageables pour les utilisateurs finaux", a-t-elle noté, pointant l'incident CoW Swap en avril au cours duquel un utilisateur a vu 316 000 $ drainés de son portefeuille.

Elle a déclaré que la tendance croissante de l'IA agentique a conduit de nombreux utilisateurs à publier les dernières applications et extensions pour améliorer la productivité et les acteurs malveillants profitent de cette tendance. "Les entreprises doivent être particulièrement prudentes lors de l'utilisation de nouvelles applications et extensions d'IA tout en révisant les modèles de sécurité internes pour s'assurer que si une violation se produit, l'impact reste aussi limité que possible", a-t-elle déclaré.

Rauch a déclaré que l'attaque s'est déroulée à travers "une série de manœuvres" commençant par le compte d'employé compromis et s'intensifiant en un accès plus large aux environnements internes. Bien que Vercel stocke les variables d'environnement des clients chiffrées au repos, l'entreprise permet à certaines variables d'être marquées comme non sensibles, auxquelles les attaquants ont pu accéder.

L'entreprise estime que le nombre de clients affectés est limité et a déclaré avoir contacté en priorité ceux potentiellement impactés. Vercel a depuis déployé des mesures supplémentaires de surveillance et de protection, tout en révisant également sa chaîne d'approvisionnement pour assurer la sécurité de projets tels que Next.js et Turbopack.

John Woods, PDG de Nillion, a déclaré à Decrypt que "sous-ensemble limité" signifie généralement que l'ensemble de clients affectés observé semble limité jusqu'à présent, mais cela n'exclut pas nécessairement un mouvement interne plus large ou un risque en aval plus étendu. "Dans les plateformes cloud modernes, le rayon d'impact ne concerne pas seulement le nombre de clients visiblement impactés au début, mais aussi ce que les systèmes compromis pourraient atteindre en coulisses", a déclaré Woods.

Il a recommandé aux entreprises de suivre une variété de meilleures pratiques pour éviter ce type de situation. "Verrouiller les autorisations OAuth, utiliser le moindre privilège, appliquer des contrôles stricts autour des variables d'environnement sensibles, séparer le déploiement frontend de l'autorité secrète ou de signature, et surveiller de près les déploiements et les journaux", a-t-il déclaré.

"Pour quiconque dont les informations d'identification ont pu être prises, la priorité immédiate est de révoquer l'accès, de faire pivoter les informations d'identification et d'examiner chaque système que ces informations d'identification pourraient atteindre", a-t-il ajouté, notant que "À un niveau supérieur, la leçon est d'éviter les architectures où une compromission peut atteindre trop de choses."

On ne sait pas encore qui est derrière l'attaque. Des captures d'écran ont fait surface d'un utilisateur portant le nom du groupe de hackers "ShinyHunters" affirmant sur un forum avoir violé Vercel et vendre l'accès aux données de l'entreprise, y compris le code source, les clés API et les systèmes internes.

L'acteur, qui pourrait également usurper l'identité de ShinyHunters, a également affirmé avoir discuté d'une demande de rançon de 2 millions de dollars avec l'entreprise. Vercel n'a pas immédiatement répondu à une demande de confirmation de ces allégations.