Χάκερς «Εξαιρετικά Εξελιγμένοι» με Τεχνητή Νοημοσύνη Πίσω από την Παραβίαση της Vercel: CEO

Ο CEO της Vercel δήλωσε ότι μια "εξαιρετικά εξελιγμένη" ομάδα hacking, πιθανώς με τη βοήθεια AI, βρισκόταν πίσω από ένα πρόσφατο περιστατικό ασφαλείας που εξέθεσε ορισμένα διαπιστευτήρια πελατών μετά από παραβίαση εσωτερικών συστημάτων.

"Πιστεύουμε ότι η ομάδα επίθεσης είναι εξαιρετικά εξελιγμένη και, έχω ισχυρές υποψίες, σημαντικά επιταχυνόμενη από AI," έγραψε ο CEO Guillermo Rauch στο Twitter, προσθέτοντας ότι οι επιτιθέμενοι "κινήθηκαν με εκπληκτική ταχύτητα και εις βάθος κατανόηση της Vercel."

Η εταιρεία, που είναι μια πλατφόρμα cloud για προγραμματιστές, ανακοίνωσε την Κυριακή ότι είχε εντοπίσει μη εξουσιοδοτημένη πρόσβαση σε ορισμένα εσωτερικά συστήματα και διεξήγαγε ενεργή έρευνα. Το περιστατικό επηρέασε ένα περιορισμένο υποσύνολο πελατών των οποίων τα διαπιστευτήρια διακυβεύτηκαν, προτρέποντας την εταιρεία να συμβουλεύσει άμεση εναλλαγή διαπιστευτηρίων.

Η παραβίαση προήλθε από τον συμβιβασμό του Context.ai, ενός εργαλείου AI τρίτου μέρους που χρησιμοποιούσε ένας υπάλληλος της Vercel, το οποίο επέτρεψε στους επιτιθέμενους να αναλάβουν τον έλεγχο του λογαριασμού Google Workspace του υπαλλήλου και να αποκτήσουν πρόσβαση σε ορισμένα περιβάλλοντα Vercel και μη ευαίσθητες μεταβλητές περιβάλλοντος.

Η αποκάλυψη υπογραμμίζει τις αυξανόμενες ανησυχίες σχετικά με τους κινδύνους ασφαλείας που θέτουν οι ενσωματώσεις τρίτων μερών και τα εργαλεία που τροφοδοτούνται από AI, καθώς οι επιτιθέμενοι εκμεταλλεύονται όλο και περισσότερο τις ευπάθειες της εφοδιαστικής αλυσίδας για να αποκτήσουν ερείσματα μέσα στους οργανισμούς.

Vercel και crypto

Η Natalie Newson, ανώτερη ερευνήτρια ασφαλείας blockchain της CertiK, δήλωσε στο Decrypt ότι το γεγονός έχει προκαλέσει επείγουσα κατάσταση ειδικά μεταξύ των crypto προγραμματιστών. "Επειδή πολλά crypto frontends χρησιμοποιούν το Vercel για να φιλοξενήσουν το UI τους, μια παραβίαση μπορεί να επιτρέψει στους επιτιθέμενους να εμφυτεύσουν ένα wallet drainer. Οι χρήστες που αλληλεπιδρούν με μια αξιόπιστη σελίδα δεν θα αναμένουν να συμβεί κάτι κακόβουλο," δήλωσε, προσθέτοντας ότι, "Τα exploits στον χώρο των crypto μπορούν να οδηγήσουν σε σημαντικές οικονομικές απώλειες."

Ακόμη και αν τα smart contracts παραμένουν ασφαλή, οι συμβιβασμοί front end εξακολουθούν να θέτουν κινδύνους. "Οι συμβιβασμοί front end μπορούν να είναι ιδιαίτερα επιζήμιοι για τους τελικούς χρήστες," σημείωσε, αναφερόμενη στο περιστατικό CoW Swap τον Απρίλιο στο οποίο ένας χρήστης είδε $316k να αποστραγγίζονται από το πορτοφόλι του.

Δήλωσε ότι η αυξανόμενη τάση του agentic AI έχει οδηγήσει πολλούς χρήστες να δημοσιεύουν τις πιο πρόσφατες εφαρμογές και επεκτάσεις για να βελτιώσουν την παραγωγικότητα και οι κακόβουλοι δράστες επωφελούνται από αυτήν την τάση. "Οι εταιρείες πρέπει να είναι ιδιαίτερα προσεκτικές όταν χρησιμοποιούν νέες εφαρμογές και επεκτάσεις AI ενώ επανεξετάζουν τα εσωτερικά μοντέλα ασφαλείας για να διασφαλίσουν ότι εάν συμβεί μια παραβίαση ο αντίκτυπος παραμένει όσο το δυνατόν πιο περιορισμένος," δήλωσε.

Ο Rauch δήλωσε ότι η επίθεση εξελίχθηκε μέσω "μιας σειράς ελιγμών" ξεκινώντας με τον παραβιασμένο λογαριασμό υπαλλήλου και κλιμακώνοντας σε ευρύτερη πρόσβαση σε εσωτερικά περιβάλλοντα. Ενώ η Vercel αποθηκεύει τις μεταβλητές περιβάλλοντος πελατών κρυπτογραφημένες σε ηρεμία, η εταιρεία επιτρέπει ορισμένες μεταβλητές να επισημαίνονται ως μη ευαίσθητες, στις οποίες οι επιτιθέμενοι μπόρεσαν να αποκτήσουν πρόσβαση.

Η εταιρεία πιστεύει ότι ο αριθμός των επηρεαζόμενων πελατών είναι περιορισμένος και δήλωσε ότι έχει επικοινωνήσει με εκείνους που ενδεχομένως επηρεάστηκαν ως προτεραιότητα. Η Vercel έχει από τότε αναπτύξει πρόσθετα μέτρα παρακολούθησης και προστασίας, ενώ επίσης επανεξετάζει την εφοδιαστική αλυσίδα της για να διασφαλίσει την ασφάλεια έργων όπως το Next.js και το Turbopack.

Ο John Woods, CEO της Nillion, δήλωσε στο Decrypt ότι το "περιορισμένο υποσύνολο" συνήθως σημαίνει ότι το παρατηρούμενο σύνολο επηρεαζόμενων πελατών φαίνεται περιορισμένο μέχρι στιγμής, αλλά δεν αποκλείει απαραίτητα ευρύτερη εσωτερική κίνηση ή ευρύτερο κίνδυνο downstream. "Στις σύγχρονες πλατφόρμες cloud, η ακτίνα έκρηξης δεν αφορά μόνο πόσοι πελάτες επηρεάστηκαν ορατά στην αρχή, αλλά και τι θα μπορούσαν να φτάσουν τα παραβιασμένα συστήματα πίσω από τις κουρτίνες," δήλωσε ο Woods.

Συνέστησε στις εταιρείες να ακολουθούν μια ποικιλία βέλτιστων πρακτικών για να αποφύγουν αυτού του είδους την κατάσταση. "Κλειδώστε τις εκχωρήσεις OAuth, χρησιμοποιήστε το ελάχιστο προνόμιο, επιβάλετε αυστηρούς ελέγχους γύρω από ευαίσθητες μεταβλητές περιβάλλοντος, διαχωρίστε την ανάπτυξη frontend από τη μυστική ή εξουσία υπογραφής και παρακολουθήστε στενά τις αναπτύξεις και τα αρχεία καταγραφής," δήλωσε.

"Για όποιον έχουν ληφθεί τα διαπιστευτήρια, η άμεση προτεραιότητα είναι να ανακαλέσει την πρόσβαση, να εναλλάξει τα διαπιστευτήρια και να επανεξετάσει κάθε σύστημα στο οποίο θα μπορούσαν να φτάσουν αυτά τα διαπιστευτήρια," πρόσθεσε, σημειώνοντας ότι, "Σε υψηλότερο επίπεδο, το μάθημα είναι να αποφεύγονται οι αρχιτεκτονικές όπου ένας συμβιβασμός μπορεί να φτάσει πάρα πολύ."

Δεν είναι ακόμη σαφές ποιος βρίσκεται πίσω από την επίθεση. Έχουν εμφανιστεί στιγμιότυπα οθόνης ενός χρήστη με το όνομα της ομάδας hacking "ShinyHunters" που ισχυρίζεται σε ένα φόρουμ ότι έχει παραβιάσει την Vercel και πουλάει πρόσβαση σε δεδομένα της εταιρείας, συμπεριλαμβανομένου του πηγαίου κώδικα, των κλειδιών API και των εσωτερικών συστημάτων.

Ο δράστης, ο οποίος μπορεί επίσης να υποδύεται τους ShinyHunters, ισχυρίστηκε επίσης ότι συζήτησε μια απαίτηση λύτρων $2 εκατομμυρίων με την εταιρεία. Η Vercel δεν απάντησε αμέσως σε αίτημα επιβεβαίωσης αυτών των ισχυρισμών.