Vercel 的執行長表示,最近發生的一起安全事件是由一個「高度複雜」且可能藉助人工智慧的駭客組織所為,該事件導致內部系統遭到入侵,一些客戶憑證被洩露。
「我們認為攻擊組織非常老練,而且我強烈懷疑,人工智慧極大地加快了他們的攻擊速度,」執行長 Guillermo Rauch在推特上寫道,並補充說,攻擊者「行動速度驚人,並且對 Vercel 有著深入的了解」。
這家面向開發者的雲端平台公司週日表示,已發現部分內部系統遭到未經授權的訪問,目前正在積極調查。這次事件影響了部分客戶,他們的憑證遭到洩露,因此該公司建議客戶立即輪換憑證。
此次安全漏洞源自於 Vercel 一名員工使用的第三方 AI 工具 Context.ai 遭到入侵,攻擊者利用該工具接管了該員工的 Google Workspace 帳戶,並獲得了對某些 Vercel 環境和非敏感環境變數的存取權限。
這項揭露凸顯了人們對第三方整合和人工智慧工具帶來的安全風險日益增長的擔憂,因為攻擊者越來越多地利用供應鏈漏洞來滲透到組織內部。
CertiK 高級區塊鏈安全研究員 Natalie Newson 告訴Decrypt,這起事件尤其引起了加密貨幣開發者的重視。 「由於許多加密貨幣前端使用 Vercel 來託管其用戶界面,一旦 Vercel 遭到入侵,攻擊者就可以植入竊取錢包資金的惡意程式。用戶在與可信任頁面互動時,不會預料到會發生任何惡意行為,」她說道,並補充道,「加密貨幣領域的漏洞攻擊可能導致巨大的經濟損失。」
即使智能合約本身安全,前端漏洞仍會帶來風險。 「前端漏洞對終端用戶造成的損失尤其嚴重,」她指出,並提及了4月份發生的CoW Swap事件,當時一名用戶的錢包被盜走了31.6萬美元。
她表示, 人工智慧智能體的興起導致許多用戶發布最新的應用程式和擴充功能以提高工作效率,而惡意行為者也正在利用這一趨勢。 「企業在使用新的人工智慧應用程式和擴充功能時應格外謹慎,同時審查內部安全模型,以確保即使發生安全漏洞,其影響也能降至最低。」她說。
勞赫表示,這次攻擊是透過「一系列手段」展開的,首先是盜用了員工帳戶,然後逐步升級,最終獲得了對內部環境的更大訪問權限。雖然Vercel公司對客戶環境變數進行靜態加密存儲,但該公司允許將某些變數標記為非敏感變量,攻擊者得以存取這些變數。
該公司認為受影響的客戶數量有限,並表示已優先聯繫可能受到影響的客戶。 Vercel 隨後部署了額外的監控和保護措施,同時審查了其供應鏈,以確保 Next.js 和 Turbopack 等專案的安全性。
Nillion 執行長 John Woods 告訴Decrypt ,「有限的子集」通常意味著目前觀察到的受影響客戶群似乎有限,但這並不一定排除更廣泛的內部擴散或更廣泛的下游風險。 Woods 表示:“在現代雲端平台中,影響範圍不僅取決於最初有多少客戶明顯受到影響,還取決於受損系統在後台能夠觸及的範圍。”
他建議企業遵循一系列最佳實踐來避免此類情況。 「加強 OAuth 授權的安全性,採用最小權限原則,對敏感環境變數實施嚴格控制,將前端部署與金鑰或簽署權限分離,並密切監控部署和日誌。」他說。
“對於任何憑證可能被盜用的人來說,當務之急是撤銷訪問權限、輪換憑證,並審查這些憑證可能訪問的每個系統,”他補充道,並指出,“從更高的層面來說,教訓是要避免採用一次洩露就可能影響範圍過大的架構。”
目前尚不清楚是誰發動了這次攻擊。有截圖顯示,一個名為「ShinyHunters」的駭客組織成員在論壇上聲稱已入侵Vercel公司,並正在出售該公司的資料存取權限,包括原始碼、API金鑰和內部系統。
這位演員(他可能也在冒充ShinyHunters)聲稱曾與該公司討論過200萬美元的贖金要求。 Vercel尚未對此置評。
