Mega-Supply Chain : ShinyHunters compromet Context.ai et Vercel via OAuth en avril 2026

🗓️ Contexte

Article de recherche publié par Cyera le 21 avril 2026, analysant une chaîne de compromissions supply chain impliquant les plateformes Context.ai et Vercel, attribuée au groupe cybercriminel ShinyHunters.

🔗 Chaîne d’événements

• Context.ai (outil d’analytics IA) subit une intrusion dans son environnement AWS
• Malgré une réponse sur incident activée, un token OAuth Google Workspace est compromis
• Ce token permet aux attaquants d’accéder latéralement à l’environnement interne de Vercel
• L’incident Vercel est divulgué le week-end du 19 avril 2026

💥 Impact

• Accès non autorisé aux systèmes internes de Vercel
• Exposition de données employés : noms, emails, journaux d’activité
• Fuite potentielle de variables d’environnement pouvant contenir des secrets opérationnels
• Un sous-ensemble limité de clients Vercel affecté, avec demande de rotation des credentials
• Impact élargi : des centaines d’organisations utilisant la même intégration OAuth potentiellement touchées

🔁 Second incident supply chain : Trivy / TeamPCP

• En parallèle, une compromission liée à TeamPCP exploite Aqua Security Trivy (intégré dans les pipelines CI/CD)
• Les outils LiteLLM (3 millions de téléchargements quotidiens) et Checkmarx sont également compromis
• Même pattern : compromission d’un composant central de confiance pour atteindre des victimes en aval

👤 Acteur de la menace : ShinyHunters

• Groupe actif depuis ~2019, spécialisé dans le vol massif de données et l’extorsion
• Opère via BreachForums et Telegram (annonces, preuves, menaces pay-or-leak)
• Annonce de la compromission Vercel publiée le 20 avril 2026 sur Telegram
• Vente de captures d’écran pour 25 000 Stars sur Telegram

🧩 Pattern d’attaque identifié

• Ciblage de couches de confiance élevée (outils IA, scanners de sécurité, fournisseurs d’identité)
• Exploitation des intégrations OAuth/API sur-permissionnées
• Mouvement latéral via des accès légitimes hérités
• Maintien ou rétablissement d’accès sur des périodes prolongées avant détection

📄 Nature de l’article

Publication de recherche à visée CTI et commerciale (Cyera), combinant analyse d’incident, identification de pattern d’attaque et mise en avant des capacités de la plateforme Cyera pour répondre à ce type de menace.

🧠 TTPs et IOCs détectés

Acteurs de menace

• ShinyHunters (cybercriminal) — orkl.eu · Malpedia

TTP

• T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
• T1078.004 — Valid Accounts: Cloud Accounts (Defense Evasion)
• T1550.001 — Use Alternate Authentication Material: Application Access Token (Lateral Movement)
• T1530 — Data from Cloud Storage (Collection)
• T1567 — Exfiltration Over Web Service (Exfiltration)
• T1098.005 — Account Manipulation: Registered Email Addresses (Persistence)

Malware / Outils

• Trivy (tool)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

• ⬜ cyera.com — source non référencée (0pts)
• ✅ 15434 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 6 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : ShinyHunters (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.cyera.com/research/compromise-once-breach-everywhere