Resumo
- A plataforma de computação nuvem Vercel divulgou detalhes de um incidente de segurança que comprometeu algumas credenciais de clientes.
- O CEO da empresa, Guillermo Raugh, revelou que o grupo atacante era "altamente sofisticado" e provavelmente usou ferramentas de Agente de IA.
- Muitos frontends cripto usam a Vercel para hospedar a sua interface, com a empresa a aconselhar a rotação imediata de credenciais.
O CEO da Vercel afirmou que um grupo de hackers "altamente sofisticado", potencialmente assistido por Agente de IA, estava por trás de um recente incidente de segurança que expôs algumas credenciais de clientes após uma violação de sistemas internos.
"Acreditamos que o grupo atacante é altamente sofisticado e, suspeito fortemente, significativamente acelerado por Agente de IA", tweetou o CEO Guillermo Rauch, acrescentando que os atacantes "moveram-se com velocidade surpreendente e compreensão aprofundada da Vercel."
A empresa, que é uma plataforma de computação nuvem para programadores, disse no domingo que tinha identificado acesso não autorizado a determinados sistemas internos e estava a investigar ativamente. O incidente afetou um subconjunto limitado de clientes cujas credenciais foram comprometidas, levando a empresa a aconselhar a rotação imediata de credenciais.
A violação teve origem no comprometimento da Context.ai, uma ferramenta de Agente de IA de terceiros usada por um funcionário da Vercel, que permitiu aos atacantes assumir o controlo da conta Google Workspace do funcionário e obter acesso a alguns ambientes Vercel e variáveis de ambiente não sensíveis.
A divulgação destaca preocupações crescentes sobre os riscos de segurança apresentados por integrações de plataformas de terceiros e ferramentas alimentadas por Agente de IA, à medida que os atacantes exploram cada vez mais vulnerabilidades da cadeia de abastecimento para obter pontos de apoio dentro das organizações.
Vercel e cripto
Natalie Newson, investigadora sénior de segurança blockchain da CertiK, disse ao Decrypt que o evento desencadeou urgência entre os programadores cripto especificamente. "Porque muitos frontends cripto usam a Vercel para hospedar a sua interface, uma violação pode permitir aos atacantes implantar um ladrão de carteira. Os utilizadores que interagem com uma página confiável não estarão à espera de que ocorra algo malicioso", disse, acrescentando que, "Exploits no espaço cripto podem levar a perdas financeiras substanciais."
Mesmo que smart contracts permaneçam seguros, comprometimentos de front end ainda representam riscos. "Comprometimentos de front end podem ser particularmente prejudiciais para os utilizadores finais", observou, apontando para o incidente CoW Swap em abril no qual um utilizador viu $316k drenados da sua carteira.
Ela disse que a tendência crescente de Agente de IA agêntico levou muitos utilizadores a publicar as mais recentes aplicações e extensões para melhorar a produtividade e os atores maliciosos estão a tirar partido desta tendência. "As empresas devem ser extremamente cautelosas ao utilizar novas aplicações e extensões de Agente de IA enquanto reveem modelos de segurança internos para garantir que, se ocorrer uma violação, o impacto permaneça o mais limitado possível", disse.
Rauch disse que o ataque desenrolou-se através de "uma série de manobras" começando com a conta de funcionário comprometida e escalando para um acesso mais amplo a ambientes internos. Embora a Vercel armazene variáveis de ambiente de clientes encriptadas em repouso, a empresa permite que algumas variáveis sejam marcadas como não sensíveis, às quais os atacantes conseguiram aceder.
A empresa acredita que o número de clientes afetados é limitado e disse que contactou aqueles potencialmente impactados como prioridade. A Vercel implementou desde então medidas adicionais de monitorização e proteção, ao mesmo tempo que revê a sua cadeia de abastecimento para garantir a segurança de projetos como Next.js e Turbopack.
John Woods, CEO da Nillion, disse ao Decrypt que "subconjunto limitado" geralmente significa que o conjunto de clientes afetados observado parece limitado até agora, mas não exclui necessariamente movimento interno mais amplo ou risco downstream mais amplo. "Em plataformas de computação nuvem modernas, o raio de explosão não é apenas sobre quantos clientes foram visivelmente impactados primeiro, mas também sobre o que os sistemas comprometidos poderiam alcançar nos bastidores", disse Woods.
Ele recomendou que as empresas sigam uma variedade de melhores práticas para evitar este tipo de situação. "Bloquear concessões OAuth, usar privilégio mínimo, impor controlos rigorosos em torno de variáveis de ambiente sensíveis, separar implementação de frontend de autoridade secreta ou de assinatura e monitorizar implementações e registos de perto", disse.
"Para qualquer pessoa cujas credenciais possam ter sido roubadas, a prioridade imediata é revogar o acesso, rodar credenciais e rever todos os sistemas que essas credenciais poderiam alcançar", acrescentou, observando que, "A um nível superior, a lição é evitar arquiteturas onde um comprometimento pode alcançar demasiado."
Ainda não está claro quem está por trás do ataque. Surgiram capturas de ecrã de um utilizador com o nome do grupo de hackers "ShinyHunters" alegando num fórum ter violado a Vercel e estar a vender acesso a dados da empresa, incluindo código fonte, chaves de Nova API e sistemas internos.
O ator, que também pode estar a personificar ShinyHunters, também alegou ter discutido uma exigência de resgate de $2 milhões com a empresa. A Vercel não respondeu imediatamente a um pedido para confirmar essas alegações.
Newsletter Daily Debrief
Comece todos os dias com as principais notícias neste momento, além de funcionalidades originais, um podcast, vídeos e muito mais.
Fonte: https://decrypt.co/364869/highly-sophisticated-ai-powered-hackers-behind-vercel-breach-ceo
