云开发平台Vercel周日表示,攻击者未经授权访问了其内部基础设施的部分,这一事件可能对托管前端的众多加密项目产生连锁反应。
公司在一份安全公告中表示,已联系外部事件响应人员并通知执法部门。Vercel表示,部分客户受到影响,正在直接联系,其服务仍在正常运行。
Vercel表示:“我们的调查显示,事件源自一个第三方AI工具,其Google Workspace OAuth应用遭受更广泛的入侵,可能影响到数百名用户,遍及多个组织。”
在X的一篇长篇周日晚间帖子中,Vercel首席执行官Guillermo Rauch详细描述了攻击者是如何入侵的。Rauch表示,最初的立足点是通过一名Vercel员工获得的,该员工的账户因使用 Context.ai 的AI平台遭入侵而被攻破。攻击者从该同事被攻破的Vercel Google Workspace账户升级到Vercel自己的环境。
Rauch表示,所有客户环境变量在静止时均以完全加密方式存储,但指出Vercel还允许将变量标记为“非敏感”,攻击者通过枚举这些非敏感变量获得了进一步访问权限。
劳什写道:“我们认为攻击者极其复杂,我强烈怀疑他们被人工智能显著加速,”并表示攻击者行动速度“令人惊讶,且对维塞尔有深入的理解。”他补充说,Vercel已分析其供应链,确认Next.js、Turbopack及其他开源项目依然安全。谷歌Mandiant团队正在协助调查,Vercel也已联系Context,协助确定调查的全部范围。
据BleepingComputer报道,这一披露紧随网络犯罪市场BreachForums上的一条帖子,一名名为ShinyHunters的卖家以200万美元的价格提供了Vercel的内部数据。海报列出了访问密钥、源代码、数据库记录以及内部部署凭证,包括NPM和GitHub令牌。发帖者的说法尚未得到独立验证。
据称,一份作为证据的样本包含了大约580条员工记录,包括姓名、公司电子邮件地址、账户状态和活动时间戳,以及内部仪表盘的截图。
归属尚未确定。BleepingComputer报道,与核心敲诈勒索组织ShinyHunters有关的成员否认与Vercel事件有任何关联。袭击者还告诉该媒体,他们曾就200万美元赎金与Vercel取得联系,尽管该公司尚未公开确认任何谈判。
开发者Theo Browne在软件开发社区广泛关注,他在X上写道,他的消息来源显示Vercel内部的Linear和GitHub集成是受影响最严重的系统。他补充说,Vercel中标记为敏感的环境变量受到保护,但未标记的应作为预防性轮换。
该指导与Vercel自身建议客户审查环境变量并使用其敏感变量功能的建议一致。
加密货币的暴露
这种风险对加密货币来说是重要的。Web3团队经常在Vercel上部署钱包接口、DEX前端和dapp仪表盘,任何将私有RPC端点、第三方API密钥或钱包相关秘密存储在纯环境变量中的项目,现在可能需要将这些秘密视为已被泄露。
前端妥协已经是该行业反复出现的问题。DEX聚合平台CoW Swap上周因域名劫持暂停交易,Aerodrome和Velodrome在11月也遭遇了DNS劫持。EasyDNS 昨天刚刚承认对 eth.limo 项目的 DNS 劫持负有责任。这些攻击通常通过将访客重定向到注册商或DNS层的钱包大块。
托管和部署层的攻破将打开不同的攻击面,完全绕过DNS监控,最坏情况下甚至可能篡改项目的实际构建输出,而不仅仅是域名指向的位置。
目前尚不清楚攻击者是如何入侵Vercel的,或者是否有针对客户的部署被更改。维塞尔表示调查仍在进行中,随着更多信息出现将更新公告。截至发稿时,尚无知名加密项目公开承认曾被Vercel就该漏洞联系。
