El CEO de Vercel, Guillermo Rauch, publicó en X el 22 de abril, hora del Pacífico de EE. UU., un avance de una investigación de seguridad, afirmando que el equipo de investigación ya ha procesado cerca de 1 PB de registros de toda la red y de la API de Vercel, y que el alcance de la investigación supera con creces el incidente de Context.ai. Rauch señaló que los atacantes robaron las claves de la cuenta de Vercel distribuyendo malware en los equipos y que ya ha notificado a las víctimas.
Vectores de ataque y patrones de comportamiento: detalles de la investigación
De acuerdo con la página de investigación de seguridad de Vercel y la publicación pública de Guillermo Rauch en X, este incidente se originó por la intrusión de una aplicación de OAuth de Google Workspace del Context.ai, una herramienta de IA de terceros utilizada por un empleado de Vercel. El atacante, mediante el acceso otorgado por esa herramienta, fue obteniendo de forma progresiva las cuentas individuales de Google Workspace de Vercel del empleado y las cuentas de Vercel. Una vez dentro del entorno de Vercel, enumeró sistemáticamente y descifró variables de entorno no sensibles.
Rauch indicó en su publicación en X que, según los registros, después de obtener las claves, el atacante realizaría de inmediato llamadas rápidas y exhaustivas a la API, con énfasis en enumerar variables de entorno no sensibles, formando un patrón de comportamiento identificable de manera repetible. Vercel evaluó que el atacante contaba con un conocimiento profundo de las interfaces de la API de productos de Vercel, con un nivel técnico muy alto.
Nuevos hallazgos tras ampliar la investigación y colaboración de la industria
Según la actualización de seguridad de Vercel del 22 de abril, tras ampliar la investigación se confirmaron dos hallazgos nuevos:
· Se identificó que algunas cuentas adicionales fueron comprometidas en este incidente; los clientes afectados ya han sido notificados
· Se identificó que algunas cuentas de clientes tenían registros de intrusiones previas no relacionadas con este incidente; se estima que provienen de la ingeniería social, malware u otras vías; dichos clientes ya han sido notificados
Vercel ha intensificado su colaboración con socios del sector como Microsoft, AWS y Wiz, y también colabora con Google Mandiant y autoridades encargadas de hacer cumplir la ley en la investigación.
Según la actualización de seguridad de Vercel del 20 de abril, el equipo de seguridad de Vercel, junto con GitHub, Microsoft, npm y Socket, confirmó que todos los paquetes npm publicados por Vercel no se vieron afectados, que no hay evidencia de manipulación y que la evaluación de seguridad de la cadena de suministro funciona con normalidad. Vercel también divulgó indicadores de compromiso (IOC) para que la comunidad los verifique, incluidos los IDs de las aplicaciones OAuth relacionadas: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com; Vercel recomendó a los administradores de Google Workspace que verifiquen si usan la aplicación mencionada.
Preguntas frecuentes
¿Cuál es el vector de ataque fundamental de este incidente de seguridad de Vercel?
Según la página de investigación de seguridad de Vercel, el incidente se originó por la intrusión de la aplicación OAuth de Google Workspace de Context.ai, una herramienta de IA de terceros utilizada por un empleado de Vercel. El atacante accedió mediante los permisos proporcionados por dicha herramienta y fue obteniendo de manera progresiva la cuenta de Vercel del empleado. Luego, ingresó en el entorno de Vercel para enumerar y descifrar variables de entorno no sensibles.
¿El alcance del ataque confirmado por el CEO de Vercel superó el incidente inicial de Context.ai?
Según la publicación pública de Guillermo Rauch en X el 22 de abril, hora del Pacífico de EE. UU., la información de inteligencia de amenazas indica que la actividad del atacante fue más allá del alcance único de la intrusión de Context.ai: robó claves de acceso de múltiples proveedores de servicios en una red más amplia mediante malware y se notificó a otros presuntos afectados para que rotaran sus credenciales.
¿Los paquetes npm publicados por Vercel se vieron afectados por este incidente de seguridad?
Según la actualización de seguridad de Vercel del 20 de abril, el equipo de seguridad de Vercel, junto con GitHub, Microsoft, npm y Socket, confirmó que todos los paquetes npm publicados por Vercel no se vieron afectados, que no hay evidencia de manipulación y que la evaluación de seguridad de la cadena de suministro es normal.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
