Вкратце
- Облачная платформа Vercel раскрыла подробности инцидента безопасности, который скомпрометировал учетные данные некоторых клиентов.
- Генеральный директор компании Гильермо Раух сообщил, что атакующая группа была "высокоорганизованной" и, вероятно, использовала инструменты ИИ.
- Многие криптовалютные фронтенды используют Vercel для размещения своего пользовательского интерфейса, при этом компания рекомендует немедленную ротацию учетных данных.
Генеральный директор Vercel заявил, что за недавним инцидентом безопасности, который привел к раскрытию учетных данных некоторых клиентов после взлома внутренних систем, стояла "высокоорганизованная" хакерская группа, возможно, использующая ИИ.
"Мы считаем, что атакующая группа высокоорганизована, и я твердо подозреваю, что их действия значительно ускорены ИИ", - написал в Twitter генеральный директор Гильермо Раух, добавив, что злоумышленники "действовали с удивительной скоростью и глубоким пониманием Vercel".
Компания, которая является облачной платформой для разработчиков, сообщила в воскресенье, что выявила несанкционированный доступ к определенным внутренним системам и активно расследует инцидент. Инцидент затронул ограниченное количество клиентов, чьи учетные данные были скомпрометированы, что побудило компанию рекомендовать немедленную ротацию учетных данных.
Взлом произошел в результате компрометации Context.ai, стороннего инструмента ИИ, используемого сотрудником Vercel, что позволило злоумышленникам захватить учетную запись Google Workspace сотрудника и получить доступ к некоторым средам Vercel и неконфиденциальным переменным окружения.
Раскрытие информации подчеркивает растущую озабоченность по поводу рисков безопасности, создаваемых интеграцией со сторонними платформами и инструментами на базе ИИ, поскольку злоумышленники все чаще используют уязвимости цепочки поставок для закрепления внутри организаций.
Vercel и криптовалюты
Натали Ньюсон, старший исследователь безопасности блокчейна CertiK, сообщила Decrypt, что это событие вызвало срочность среди криптовалютных разработчиков. "Поскольку многие криптовалютные фронтенды используют Vercel для размещения своего пользовательского интерфейса, взлом может позволить злоумышленникам внедрить программу для опустошения кошельков. Пользователи, взаимодействующие с доверенной страницей, не будут ожидать ничего вредоносного", - сказала она, добавив, что "эксплойты в криптопространстве могут привести к существенным финансовым потерям".
Даже если смарт-контракты остаются безопасными, компрометация фронтенда по-прежнему представляет риски. "Компрометация фронтенда может быть особенно разрушительной для конечных пользователей", - отметила она, указав на инцидент с CoW Swap в апреле, когда один пользователь потерял 316 000$ из своего кошелька.
Она сказала, что растущая тенденция агентского ИИ привела к тому, что многие пользователи публикуют новейшие приложения и расширения для повышения производительности, и злоумышленники пользуются этой тенденцией. "Компании должны быть особенно осторожны при использовании новых приложений и расширений ИИ, пересматривая внутренние модели безопасности, чтобы гарантировать, что в случае взлома воздействие останется максимально ограниченным", - сказала она.
Раух сказал, что атака развернулась через "серию маневров", начиная со скомпрометированной учетной записи сотрудника и перерастая в более широкий доступ к внутренним средам. Хотя Vercel хранит переменные окружения клиентов в зашифрованном виде в состоянии покоя, компания позволяет помечать некоторые переменные как неконфиденциальные, к которым злоумышленники смогли получить доступ.
Компания считает, что число затронутых клиентов ограничено, и заявила, что в приоритетном порядке связалась с теми, кто потенциально пострадал. С тех пор Vercel развернула дополнительные меры мониторинга и защиты, а также проверяет свою цепочку поставок, чтобы обеспечить безопасность таких проектов, как Next.js и Turbopack.
Джон Вудс, генеральный директор Nillion, сообщил Decrypt, что "ограниченное количество" обычно означает, что наблюдаемый набор затронутых клиентов пока выглядит ограниченным, но это не обязательно исключает более широкое внутреннее движение или более широкий последующий риск. "На современных облачных платформах радиус поражения касается не только того, сколько клиентов было явно затронуто вначале, но и того, к чему скомпрометированные системы могли получить доступ за кулисами", - сказал Вудс.
Он рекомендовал компаниям следовать различным лучшим практикам, чтобы избежать подобной ситуации. "Заблокируйте разрешения OAuth, используйте минимальные привилегии, применяйте строгий контроль конфиденциальных переменных окружения, отделяйте развертывание фронтенда от секретных полномочий или полномочий подписи и внимательно отслеживайте развертывания и журналы", - сказал он.
"Для всех, чьи учетные данные могли быть украдены, немедленным приоритетом является отзыв доступа, ротация учетных данных и проверка каждой системы, к которой эти учетные данные могли получить доступ", - добавил он, отметив, что "на более высоком уровне урок состоит в том, чтобы избегать архитектур, в которых одна компрометация может охватить слишком многое".
Пока неясно, кто стоит за атакой. Появились скриншоты пользователя с именем хакерской группы "ShinyHunters", утверждающего на форуме, что взломал Vercel и продает доступ к данным компании, включая исходный код, ключи API и внутренние системы.
Злоумышленник, который также может выдавать себя за ShinyHunters, также утверждал, что обсуждал с компанией требование выкупа в размере 2 000 000$. Vercel не сразу ответила на запрос подтвердить эти утверждения.
Ежедневная информационная рассылка
Начинайте каждый день с самых свежих новостей прямо сейчас, а также оригинальных материалов, подкаста, видео и многого другого.
Источник: https://decrypt.co/364869/highly-sophisticated-ai-powered-hackers-behind-vercel-breach-ceo
