https://cyberveille.ch/tags/saas-compromise/ Recent content in SaaS-Compromise on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Wed, 29 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-29-mega-supply-chain-shinyhunters-compromet-context-ai-et-vercel-via-oauth-en-avril-2026/ Wed, 29 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-29-mega-supply-chain-shinyhunters-compromet-context-ai-et-vercel-via-oauth-en-avril-2026/ <h2 id="-contexte">🗓️ Contexte</h2> <p>Article de recherche publié par Cyera le 21 avril 2026, analysant une chaîne de compromissions supply chain impliquant les plateformes <strong>Context.ai</strong> et <strong>Vercel</strong>, attribuée au groupe cybercriminel <strong>ShinyHunters</strong>.</p> <h2 id="-chaîne-dévénements">🔗 Chaîne d&rsquo;événements</h2> <ul> <li><strong>Context.ai</strong> (outil d&rsquo;analytics IA) subit une intrusion dans son <strong>environnement AWS</strong></li> <li>Malgré une réponse sur incident activée, un <strong>token OAuth Google Workspace</strong> est compromis</li> <li>Ce token permet aux attaquants d&rsquo;accéder latéralement à l&rsquo;environnement interne de <strong>Vercel</strong></li> <li>L&rsquo;incident Vercel est divulgué le week-end du <strong>19 avril 2026</strong></li> </ul> <h2 id="-impact">💥 Impact</h2> <ul> <li>Accès non autorisé aux systèmes internes de Vercel</li> <li><strong>Exposition de données employés</strong> : noms, emails, journaux d&rsquo;activité</li> <li>Fuite potentielle de <strong>variables d&rsquo;environnement</strong> pouvant contenir des secrets opérationnels</li> <li>Un sous-ensemble limité de clients Vercel affecté, avec demande de rotation des credentials</li> <li>Impact élargi : <strong>des centaines d&rsquo;organisations</strong> utilisant la même intégration OAuth potentiellement touchées</li> </ul> <h2 id="-second-incident-supply-chain--trivy--teampcp">🔁 Second incident supply chain : Trivy / TeamPCP</h2> <ul> <li>En parallèle, une compromission liée à <strong>TeamPCP</strong> exploite <strong>Aqua Security Trivy</strong> (intégré dans les pipelines CI/CD)</li> <li>Les outils <strong>LiteLLM</strong> (3 millions de téléchargements quotidiens) et <strong>Checkmarx</strong> sont également compromis</li> <li>Même pattern : compromission d&rsquo;un composant central de confiance pour atteindre des victimes en aval</li> </ul> <h2 id="-acteur-de-la-menace--shinyhunters">👤 Acteur de la menace : ShinyHunters</h2> <ul> <li>Groupe actif depuis <strong>~2019</strong>, spécialisé dans le vol massif de données et l&rsquo;extorsion</li> <li>Opère via <strong>BreachForums</strong> et <strong>Telegram</strong> (annonces, preuves, menaces pay-or-leak)</li> <li>Annonce de la compromission Vercel publiée le <strong>20 avril 2026</strong> sur Telegram</li> <li>Vente de captures d&rsquo;écran pour <strong>25 000 Stars</strong> sur Telegram</li> </ul> <h2 id="-pattern-dattaque-identifié">🧩 Pattern d&rsquo;attaque identifié</h2> <ul> <li>Ciblage de <strong>couches de confiance élevée</strong> (outils IA, scanners de sécurité, fournisseurs d&rsquo;identité)</li> <li>Exploitation des <strong>intégrations OAuth/API sur-permissionnées</strong></li> <li>Mouvement latéral via des accès légitimes hérités</li> <li>Maintien ou rétablissement d&rsquo;accès sur des <strong>périodes prolongées</strong> avant détection</li> </ul> <h2 id="-nature-de-larticle">📄 Nature de l&rsquo;article</h2> <p>Publication de recherche à visée CTI et commerciale (Cyera), combinant analyse d&rsquo;incident, identification de pattern d&rsquo;attaque et mise en avant des capacités de la plateforme Cyera pour répondre à ce type de menace.</p>