Sự cố vi phạm nền tảng Cloud Dev liên quan đến công cụ AI bị xâm nhập gióng lên hồi chuông cảnh báo cho các giao diện crypto

Sự cố bảo mật của nền tảng phát triển điện toán đám mây Vercel đã gây ra sự lo ngại trong ngành tiền mã hóa, sau khi công ty tiết lộ rằng kẻ tấn công đã xâm phạm các phần trong hệ thống nội bộ của họ thông qua một công cụ AI của bên thứ ba.

Bởi vì nhiều dự án tiền mã hóa dựa vào Vercel để lưu trữ giao diện người dùng của họ, vụ vi phạm này nhấn mạnh mức độ phụ thuộc của các nhóm Web3 vào cơ sở hạ tầng điện toán đám mây tập trung. Sự phụ thuộc đó tạo ra một bề mặt tấn công thường bị bỏ qua—một bề mặt có thể bỏ qua các biện pháp phòng thủ truyền thống như giám sát DNS và trực tiếp xâm phạm tính toàn vẹn của frontend.

Vercel cho biết vào Chủ nhật rằng cuộc xâm nhập bắt nguồn từ một công cụ AI của bên thứ ba được liên kết với một ứng dụng OAuth của Google Workspace. Công cụ đó đã bị vi phạm trong một sự cố lớn hơn ảnh hưởng đến hàng trăm người dùng từ nhiều tổ chức, công ty cho biết. Vercel xác nhận một nhóm nhỏ khách hàng bị ảnh hưởng và các dịch vụ của họ vẫn hoạt động.

Công ty đã thuê các chuyên gia ứng phó sự cố bên ngoài và thông báo cho cảnh sát đồng thời điều tra cách dữ liệu có thể đã bị truy cập.

Khóa truy cập, mã nguồn, bản ghi cơ sở dữ liệu và thông tin đăng nhập triển khai (token NPM và GitHub) đã được liệt kê cho tài khoản. Nhưng đây không phải là những tuyên bố được xác lập một cách độc lập.

Để chứng minh, một trong những mục mẫu đó bao gồm khoảng 580 hồ sơ nhân viên với tên, địa chỉ email công ty, trạng thái tài khoản và dấu thời gian hoạt động, cùng với ảnh chụp màn hình bảng điều khiển nội bộ.

Nguồn gốc vẫn chưa rõ ràng. Các cá nhân liên quan đến nhóm cốt lõi ShinyHunters đã phủ nhận sự tham gia, theo các báo cáo. Người bán cũng cho biết đã liên hệ với Vercel, yêu cầu tiền chuộc, mặc dù công ty chưa tiết lộ liệu các cuộc đàm phán có được tiến hành hay không.

Việc xâm phạm AI của bên thứ ba làm lộ ra rủi ro cơ sở hạ tầng ẩn

Thay vì tấn công trực tiếp Vercel, kẻ tấn công đã tận dụng quyền truy cập OAuth được liên kết với Google Workspace. Một điểm yếu trong chuỗi cung ứng thuộc loại này khó xác định hơn, vì nó phụ thuộc vào các tích hợp đáng tin cậy hơn là các lỗ hổng rõ ràng.

Theo Browne, một nhà phát triển nổi tiếng trong cộng đồng phần mềm, cho biết những người được tham vấn chỉ ra rằng các tích hợp Linear và GitHub nội bộ của Vercel chịu phần lớn các vấn đề.

Ông quan sát thấy rằng các biến môi trường được đánh dấu là nhạy cảm trong Vercel được bảo vệ; các biến khác không được gắn cờ phải được xoay vòng để tránh số phận tương tự.

Vercel đã theo dõi chỉ thị này, kêu gọi khách hàng xem xét các biến môi trường của họ và sử dụng tính năng biến nhạy cảm của nền tảng. Loại xâm phạm đó đặc biệt đáng lo ngại vì các biến môi trường thường chứa các bí mật như khóa API, điểm cuối RPC riêng tư và thông tin đăng nhập triển khai.

Nếu các giá trị này bị xâm phạm, kẻ tấn công có thể thay đổi các bản dựng, tiêm mã độc hoặc có quyền truy cập vào các dịch vụ được kết nối để khai thác rộng rãi hơn.

Không giống như các vụ vi phạm điển hình nhắm vào bản ghi DNS hoặc nhà đăng ký tên miền, việc xâm phạm ở lớp lưu trữ xảy ra ở cấp độ build pipeline. Điều đó cho phép kẻ tấn công xâm phạm frontend thực tế được cung cấp cho người dùng thay vì chỉ chuyển hướng khách truy cập.

Một số dự án lưu trữ dữ liệu cấu hình nhạy cảm trong các biến môi trường, bao gồm các dịch vụ liên quan đến ví, nhà cung cấp phân tích và điểm cuối cơ sở hạ tầng. Nếu các giá trị đó được truy cập, các nhóm có thể phải giả định rằng chúng đã bị xâm phạm và xoay vòng chúng.

Các cuộc tấn công frontend đã trở thành một thách thức lặp đi lặp lại trong không gian tiền mã hóa. Các sự cố chiếm đoạt tên miền gần đây đã dẫn đến việc người dùng bị chuyển hướng đến các bản sao độc hại được thiết kế để rút cạn ví. Nhưng những cuộc tấn công đó thường đến ở cấp độ DNS hoặc nhà đăng ký. Những thay đổi này thường có thể được phát hiện nhanh chóng bằng các công cụ giám sát.

Một sự xâm phạm ở lớp lưu trữ thì khác. Thay vì chuyển hướng người dùng đến một trang web giả mạo, kẻ tấn công sửa đổi frontend thực tế. Người dùng có thể gặp một tên miền hợp pháp phục vụ mã độc, nhưng sẽ không biết điều gì đang xảy ra.

Cuộc điều tra tiếp tục khi các dự án tiền mã hóa xem xét mức độ phơi nhiễm

Vụ vi phạm đã xâm nhập đến đâu, hoặc liệu có bất kỳ triển khai khách hàng nào bị thay đổi hay không, vẫn chưa rõ ràng. Vercel cho biết cuộc điều tra của họ đang diễn ra và sẽ cập nhật cho các bên liên quan khi có thêm thông tin. Công ty cũng cho biết các khách hàng bị ảnh hưởng đang được liên hệ trực tiếp.

Không có dự án tiền mã hóa lớn nào công khai xác nhận đã nhận được thông báo từ Vercel tính đến thời điểm xuất bản. Nhưng sự cố này dự kiến sẽ thúc đẩy các nhóm kiểm toán cơ sở hạ tầng của họ, xoay vòng thông tin đăng nhập và kiểm tra cách họ quản lý các bí mật.

Bài học lớn hơn là bảo mật trong các frontend tiền mã hóa không kết thúc ở việc bảo vệ DNS hoặc kiểm toán hợp đồng thông minh. Sự phụ thuộc vào các nền tảng điện toán đám mây, quy trình CI/CD và tích hợp AI làm tăng thêm rủi ro.

Khi một trong những dịch vụ đáng tin cậy đó bị xâm phạm, kẻ tấn công có thể khai thác một kênh bỏ qua các biện pháp phòng thủ truyền thống và ảnh hưởng trực tiếp đến người dùng.

Vụ hack Vercel, gắn liền với một công cụ AI bị xâm phạm, minh họa cách các lỗ hổng chuỗi cung ứng trong các ngăn xếp phát triển hiện đại có thể có tác động dây chuyền trong toàn bộ hệ sinh thái tiền mã hóa.

Ngân hàng của bạn đang sử dụng tiền của bạn. Bạn chỉ nhận được phần thừa. Xem video miễn phí của chúng tôi về việc trở thành ngân hàng của chính bạn