Vercel 的执行长表示,最近发生的一起安全事件是由一个「高度复杂」且可能借助人工智慧的骇客组织所为,该事件导致内部系统遭到入侵,一些客户凭证被泄露。
「我们认为攻击组织非常老练,而且我强烈怀疑,人工智慧极大地加快了他们的攻击速度,」执行长 Guillermo Rauch在推特上写道,并补充说,攻击者「行动速度惊人,并且对 Vercel 有著深入的了解」。
这家面向开发者的云端平台公司周日表示,已发现部分内部系统遭到未经授权的访问,目前正在积极调查。这次事件影响了部分客户,他们的凭证遭到泄露,因此该公司建议客户立即轮换凭证。
此次安全漏洞源自于 Vercel 一名员工使用的第三方 AI 工具 Context.ai 遭到入侵,攻击者利用该工具接管了该员工的 Google Workspace 帐户,并获得了对某些 Vercel 环境和非敏感环境变数的存取权限。
这项揭露凸显了人们对第三方整合和人工智慧工具带来的安全风险日益增长的担忧,因为攻击者越来越多地利用供应链漏洞来渗透到组织内部。
CertiK 高级区块链安全研究员 Natalie Newson 告诉Decrypt,这起事件尤其引起了加密货币开发者的重视。 「由于许多加密货币前端使用 Vercel 来托管其用户界面,一旦 Vercel 遭到入侵,攻击者就可以植入窃取钱包资金的恶意程式。用户在与可信任页面互动时,不会预料到会发生任何恶意行为,」她说道,并补充道,「加密货币领域的漏洞攻击可能导致巨大的经济损失。」
即使智能合约本身安全,前端漏洞仍会带来风险。 「前端漏洞对终端用户造成的损失尤其严重,」她指出,并提及了4月份发生的CoW Swap事件,当时一名用户的钱包被盗走了31.6万美元。
她表示, 人工智慧智能体的兴起导致许多用户发布最新的应用程式和扩充功能以提高工作效率,而恶意行为者也正在利用这一趋势。 「企业在使用新的人工智慧应用程式和扩充功能时应格外谨慎,同时审查内部安全模型,以确保即使发生安全漏洞,其影响也能降至最低。」她说。
劳赫表示,这次攻击是透过「一系列手段」展开的,首先是盗用了员工帐户,然后逐步升级,最终获得了对内部环境的更大访问权限。虽然Vercel公司对客户环境变数进行静态加密存储,但该公司允许将某些变数标记为非敏感变量,攻击者得以存取这些变数。
该公司认为受影响的客户数量有限,并表示已优先联系可能受到影响的客户。 Vercel 随后部署了额外的监控和保护措施,同时审查了其供应链,以确保 Next.js 和 Turbopack 等专案的安全性。
Nillion 执行长 John Woods 告诉Decrypt ,「有限的子集」通常意味著目前观察到的受影响客户群似乎有限,但这并不一定排除更广泛的内部扩散或更广泛的下游风险。 Woods 表示:“在现代云端平台中,影响范围不仅取决于最初有多少客户明显受到影响,还取决于受损系统在后台能够触及的范围。”
他建议企业遵循一系列最佳实践来避免此类情况。 「加强 OAuth 授权的安全性,采用最小权限原则,对敏感环境变数实施严格控制,将前端部署与金钥或签署权限分离,并密切监控部署和日志。」他说。
“对于任何凭证可能被盗用的人来说,当务之急是撤销访问权限、轮换凭证,并审查这些凭证可能访问的每个系统,”他补充道,并指出,“从更高的层面来说,教训是要避免采用一次泄露就可能影响范围过大的架构。”
目前尚不清楚是谁发动了这次攻击。有截图显示,一个名为「ShinyHunters」的骇客组织成员在论坛上声称已入侵Vercel公司,并正在出售该公司的资料存取权限,包括原始码、API金钥和内部系统。
这位演员(他可能也在冒充ShinyHunters)声称曾与该公司讨论过200万美元的赎金要求。 Vercel尚未对此置评。
