Зламання хмарної платформи розробки, пов'язане зі скомпрометованим ІІ-інструментом, підняло тривогу для криптовалютних фронтендів

Інцидент безпеки хмарної платформи розробки Vercel викликав тривогу в криптоіндустрії після того, як компанія повідомила, що зловмисники скомпрометували частини її внутрішніх систем через сторонній ШІ-інструмент.

Оскільки багато криптопроєктів покладаються на Vercel для розміщення своїх користувацьких інтерфейсів, порушення підкреслює, наскільки залежними є команди Web3 від централізованої хмарної інфраструктури. Ця залежність створює часто ігнорований напрямок атак — той, який може обійти традиційні засоби захисту, такі як моніторинг DNS, і безпосередньо скомпрометувати цілісність фронтенду.

Vercel повідомила в неділю, що вторгнення виникло через сторонній ШІ-інструмент, пов'язаний з OAuth-додатком Google Workspace. Цей інструмент був зламаний у більшому інциденті, що торкнувся сотень користувачів з кількох організацій, повідомила компанія. Vercel підтвердила, що постраждала обмежена кількість клієнтів, і її сервіси залишалися працездатними.

Компанія залучила зовнішніх фахівців з реагування на інциденти та сповістила поліцію, а також проводить розслідування того, як до даних могли отримати доступ.

Для акаунту були перераховані ключі доступу, вихідний код, записи баз даних та облікові дані для розгортання (токени NPM та GitHub). Але це не є незалежно встановленими твердженнями.

Як доказ, один із цих зразків включав приблизно 580 записів співробітників з іменами, корпоративними адресами електронної пошти, статусом акаунту та часовими мітками активності, а також знімок екрана внутрішньої панелі.

Атрибуція залишається незрозумілою. Особи, пов'язані з основною групою ShinyHunters, заперечили причетність, згідно з повідомленнями. Продавець також заявив, що зв'язався з Vercel, вимагаючи викуп, хоча компанія не розкрила, чи проводилися переговори.

Компрометація стороннього ШІ розкриває приховані ризики інфраструктури

Замість прямої атаки на Vercel зловмисники використали доступ OAuth, пов'язаний з Google Workspace. Слабкість ланцюга постачання такого характеру складніше виявити, оскільки вона залежить від довірених інтеграцій, а не очевидних вразливостей.

Тео Браун, розробник, відомий у програмному співтоваристві, сказав, що ті, з ким консультувалися, вказали, що внутрішні інтеграції Vercel з Linear та GitHub зазнали найбільших проблем.

Він зазначив, що змінні середовища, позначені як конфіденційні в Vercel, захищені; інші змінні, які не були позначені, необхідно змінити, щоб уникнути тієї ж долі.

Vercel виконала цю директиву, закликаючи клієнтів переглянути свої змінні середовища та використовувати функцію конфіденційних змінних платформи. Такий вид компрометації особливо тривожний, оскільки змінні середовища часто містять секрети, такі як API-ключі, приватні RPC-точки доступу та облікові дані для розгортання.

Якщо ці значення були скомпрометовані, зловмисники могли б змінювати збірки, впроваджувати шкідливий код або отримувати доступ до підключених сервісів для ширшої експлуатації.

На відміну від типових порушень, які спрямовані на DNS-записи або реєстраторів доменів, компрометація на рівні хостингу відбувається на рівні конвеєра збірки. Це дозволяє зловмисникам скомпрометувати фактичний фронтенд, що доставляється користувачам, а не просто перенаправляти відвідувачів.

Деякі проєкти зберігають конфіденційні конфігураційні дані у змінних середовища, включаючи сервіси, пов'язані з гаманцями, провайдери аналітики та кінцеві точки інфраструктури. Якщо до цих значень отримали доступ, команди можуть бути змушені припустити, що вони були скомпрометовані, і змінити їх.

Атаки на фронтенд вже стали постійною проблемою в криптопросторі. Нещодавні інциденти викрадення доменів призвели до того, що користувачів перенаправляли на шкідливі клони, розроблені для викачування гаманців. Але ці атаки зазвичай відбуваються на рівні DNS або реєстратора. Ці зміни часто можна швидко виявити за допомогою інструментів моніторингу.

Компрометація на рівні хостингу відрізняється. Замість того, щоб направляти користувачів на фальшивий сайт, зловмисники змінюють фактичний фронтенд. Користувачі можуть зіткнутися з легітимним доменом, що обслуговує шкідливий код, але не матимуть уявлення про те, що відбувається.

Розслідування продовжується, оскільки криптопроєкти переглядають експозицію

Наскільки глибоко проникло порушення або чи були змінені якісь розгортання клієнтів, незрозуміло. Vercel заявила, що її розслідування продовжується, і вона оновлюватиме зацікавлені сторони в міру надходження додаткової інформації. Вона також заявила, що з постраждалими клієнтами зв'язуються безпосередньо.

Жоден великий криптопроєкт публічно не підтвердив отримання повідомлення від Vercel станом на час публікації. Але очікується, що інцидент спонукає команди провести аудит своєї інфраструктури, змінити облікові дані та перевірити, як вони керують секретами.

Більший урок полягає в тому, що безпека криптофронтендів не закінчується на захисті DNS або аудитах смарт-контрактів. Залежність від хмарних платформ, CI/CD конвеєрів та інтеграцій ШІ ще більше збільшує ризик.

Коли один із цих довірених сервісів скомпрометовано, зловмисники можуть використовувати канал, який обходить традиційні засоби захисту та безпосередньо впливає на користувачів.

Злом Vercel, пов'язаний зі скомпрометованим ШІ-інструментом, ілюструє, як вразливості ланцюга постачання в сучасних стеках розробки можуть мати каскадні наслідки для всієї криптоекосистеми.

Ваш банк використовує ваші гроші. Ви отримуєте залишки. Подивіться наше безкоштовне відео про те, як стати власним банком