قراصنة "متطورون للغاية" مدعومون بالذكاء الاصطناعي وراء اختراق Vercel: الرئيس التنفيذي

قال الرئيس التنفيذي لشركة Vercel إن مجموعة قرصنة "متطورة للغاية" وربما بمساعدة الذكاء الاصطناعي كانت وراء حادث أمني حديث كشف عن بعض بيانات اعتماد العملاء بعد اختراق الأنظمة الداخلية.

غرد الرئيس التنفيذي غييرمو راوخ قائلاً: "نعتقد أن المجموعة المهاجمة متطورة للغاية، وأشك بشدة أنها مدعومة بشكل كبير بالذكاء الاصطناعي"، مضيفاً أن المهاجمين "تحركوا بسرعة مفاجئة وفهم عميق لـ Vercel".

قالت الشركة، وهي منصة سحابية للمطورين، يوم الأحد إنها حددت وصولاً غير مصرح به إلى أنظمة داخلية معينة وتجري تحقيقاً نشطاً. أثر الحادث على مجموعة فرعية محدودة من العملاء الذين تم اختراق بيانات اعتمادهم، مما دفع الشركة إلى نصح بتدوير بيانات الاعتماد على الفور.

نشأ الاختراق من اختراق Context.ai، وهي أداة ذكاء اصطناعي تابعة لطرف ثالث يستخدمها موظف في Vercel، مما سمح للمهاجمين بالاستيلاء على حساب Google Workspace الخاص بالموظف والوصول إلى بعض بيئات Vercel ومتغيرات البيئة غير الحساسة.

يسلط الكشف الضوء على المخاوف المتزايدة بشأن المخاطر الأمنية التي تشكلها عمليات التكامل مع منصات الطرف الثالث والأدوات المدعومة بالذكاء الاصطناعي، حيث يستغل المهاجمون بشكل متزايد نقاط الضعف في سلسلة التوريد للحصول على موطئ قدم داخل المؤسسات.

Vercel والكريبتو

أخبرت ناتالي نيوسون، باحثة أمن البلوكشين الأولى في CertiK، Decrypt أن الحدث أثار حالة طوارئ بين مطوري الكريبتو على وجه التحديد. "نظراً لأن العديد من واجهات الكريبتو الأمامية تستخدم Vercel لاستضافة واجهة المستخدم الخاصة بها، يمكن أن يسمح الاختراق للمهاجمين بزرع أداة لتفريغ المحفظة. لن يتوقع المستخدمون الذين يتفاعلون مع صفحة موثوقة حدوث أي شيء ضار"، مضيفة: "يمكن أن تؤدي الثغرات في مجال الكريبتو إلى خسائر مالية كبيرة".

حتى لو ظلت العقود الذكية آمنة، لا تزال اختراقات الواجهة الأمامية تشكل مخاطر. "يمكن أن تكون اختراقات الواجهة الأمامية ضارة بشكل خاص للمستخدمين النهائيين"، مشيرة إلى حادثة CoW Swap في أبريل حيث شهد أحد المستخدمين تصريف 316 ألف دولار من محفظته.

قالت إن الاتجاه المتزايد لوكيل الذكاء الاصطناعي أدى إلى قيام العديد من المستخدمين بنشر أحدث التطبيقات والإضافات لتحسين الإنتاجية والجهات الفاعلة الخبيثة تستفيد من هذا الاتجاه. "يجب أن تكون الشركات حذرة للغاية عند استخدام تطبيقات وإضافات الذكاء الاصطناعي الجديدة أثناء مراجعة نماذج الأمان الداخلية لضمان أنه في حالة حدوث اختراق، يظل التأثير محدوداً قدر الإمكان".

قال راوخ إن الهجوم تطور من خلال "سلسلة من المناورات" بدءاً من حساب الموظف المخترق وتصاعد إلى وصول أوسع إلى البيئات الداخلية. بينما تخزن Vercel متغيرات بيئة العملاء مشفرة في حالة السكون، تسمح الشركة بتمييز بعض المتغيرات على أنها غير حساسة، والتي تمكن المهاجمون من الوصول إليها.

تعتقد الشركة أن عدد العملاء المتأثرين محدود وقالت إنها اتصلت بالأشخاص المحتمل تأثرهم كأولوية. نشرت Vercel منذ ذلك الحين تدابير إضافية للمراقبة والحماية، بينما تقوم أيضاً بمراجعة سلسلة التوريد الخاصة بها لضمان سلامة مشاريع مثل Next.js و Turbopack.

أخبر جون وودز، الرئيس التنفيذي لشركة Nillion، Decrypt أن "المجموعة الفرعية المحدودة" تعني عادة أن مجموعة العملاء المتأثرين الملاحظة تبدو محدودة حتى الآن، لكنها لا تستبعد بالضرورة حركة داخلية أوسع أو مخاطر أوسع في المراحل اللاحقة. "في منصات الحوسبة السحابية الحديثة، نصف قطر الانفجار لا يتعلق فقط بعدد العملاء الذين تأثروا بشكل واضح في البداية، ولكن أيضاً بما يمكن أن تصل إليه الأنظمة المخترقة خلف الكواليس".

أوصى الشركات باتباع مجموعة متنوعة من أفضل الممارسات لتجنب هذا النوع من المواقف. "قفل منح OAuth، استخدم امتياز أقل، فرض ضوابط صارمة حول متغيرات البيئة الحساسة، افصل نشر الواجهة الأمامية عن السر أو سلطة التوقيع، وراقب عمليات النشر والسجلات عن كثب".

أضاف: "بالنسبة لأي شخص قد تكون بيانات اعتماده قد أخذت، الأولوية الفورية هي إلغاء الوصول، وتدوير بيانات الاعتماد، ومراجعة كل نظام يمكن أن تصل إليه تلك بيانات الاعتماد"، مشيراً إلى أنه "على مستوى أعلى، الدرس هو تجنب البنى المعمارية حيث يمكن أن يصل اختراق واحد إلى الكثير".

ليس من الواضح بعد من يقف وراء الهجوم. ظهرت لقطات شاشة لمستخدم باسم مجموعة القرصنة "ShinyHunters" يزعم في منتدى أنه اخترق Vercel ويبيع الوصول إلى بيانات الشركة، بما في ذلك الكود المصدري ومفاتيح واجهة برمجة تطبيقات والأنظمة الداخلية.

زعم الممثل، الذي قد يكون أيضاً ينتحل شخصية ShinyHunters، أنه ناقش طلب فدية بقيمة 2 مليون دولار مع الشركة. لم ترد Vercel على الفور على طلب لتأكيد تلك الادعاءات.