Генеральний директор Vercel Гільєрмо Раух (Guillermo Rauch) 22 квітня за тихоокеанським часом у США опублікував у X прогрес безпекового розслідування, заявивши, що команда опрацювала майже 1 PB логів усієї мережі та API Vercel; межі розслідування значно перевищують інцидент із Context.ai. Раух сказав, що зловмисники, розповсюдивши шкідливе програмне забезпечення на комп’ютери, викрали ключі облікового запису Vercel; їх було повідомлено постраждалим.
Вектори атаки та моделі поведінки: деталі розслідування
Згідно зі сторінкою безпекового розслідування Vercel та опублікованими в X матеріалами Гільєрмо Рауха, ця подія бере початок у компрометації застосунку Google Workspace OAuth для стороннього інструмента штучного інтелекту Context.ai, який використовував співробітник Vercel. Зловмисники використали доступні через цей інструмент дозволи, поступово отримали персональний обліковий запис Vercel у Google Workspace та обліковий запис Vercel співробітника; після входу в середовище Vercel вони системно перерахували та розшифрували не чутливі змінні середовища.
Раух у публікації в X зазначив, що журнали показують: після отримання ключів зловмисники одразу виконують швидкі, всеосяжні виклики API, зосереджуючись на перерахуванні не чутливих змінних середовища, формуючи повторювану модель поведінки. Vercel оцінює, що зловмисники мають глибокі знання про інтерфейс програмного забезпечення для API продуктів Vercel, а технічний рівень є дуже високим.
Нові висновки після розширення розслідування та співпраця в галузі
Згідно з безпековим оновленням Vercel від 22 квітня, після розширення розслідування підтверджено два додаткові висновки:
· Виявлено, що в цьому інциденті зазнали компрометації невелика кількість інших акаунтів; постраждалі клієнти були повідомлені
· Виявлено, що в частини клієнтських акаунтів є записи про попередні компрометації, які не пов’язані з цим інцидентом; припускають, що це сталося через соціальну інженерію, шкідливе програмне забезпечення або інші способи; відповідних клієнтів було повідомлено
Vercel поглибив співпрацю з галузевими партнерами, зокрема Microsoft, AWS та Wiz, а також працює спільно з Google Mandiant і правоохоронними органами для розслідування.
Згідно з безпековим оновленням Vercel від 20 квітня, безпекова команда Vercel разом із GitHub, Microsoft, npm та Socket підтвердила, що всі npm-пакети, опубліковані Vercel, не зазнали впливу: немає доказів підміни, оцінка безпеки ланцюга постачання є нормальною. Vercel також оприлюднив індикатори компрометації (IOC) для перевірки спільнотою, зокрема ID відповідних OAuth-застосунків: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com; Vercel радить адміністраторам Google Workspace перевірити, чи використовувались наведені вище застосунки.
Питання та відповіді
Який базовий вектор атаки цієї безпекової події Vercel?
Згідно зі сторінкою безпекового розслідування Vercel, подія сталася через компрометацію застосунку Google Workspace OAuth для стороннього інструмента штучного інтелекту Context.ai, який використовував співробітник Vercel; зловмисники, отримавши доступ через цей інструмент, поступово здобули обліковий запис Vercel співробітника, а потім увійшли в середовище Vercel, перерахували та розшифрували не чутливі змінні середовища.
Чи охоплення атаки, підтверджене генеральним директором Vercel, вийшло за межі початкового інциденту Context.ai?
Згідно з публічною публікацією Гільєрмо Рауха в X від 22 квітня за тихоокеанським часом у США, дані розвідки показують, що активність зловмисників вийшла за межі єдиного інциденту компрометації Context.ai: через шкідливе програмне забезпечення вони викрали ключі доступу постачальників у ширшій мережі; інших ймовірних постраждалих було повідомлено про ротацію облікових даних.
Чи вплинула ця безпекова подія на npm-пакети, опубліковані Vercel?
Згідно з безпековим оновленням Vercel від 20 квітня, безпекова команда Vercel разом із GitHub, Microsoft, npm та Socket підтвердила, що всі npm-пакети, опубліковані Vercel, не зазнали впливу: немає доказів підміни, а оцінка безпеки ланцюга постачання є нормальною.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
