O diretor-executivo da Vercel, Guillermo Rauch, em 22 de abril, no horário do Pacífico dos EUA, publicou no X uma atualização sobre o andamento da investigação de segurança, afirmando que a equipe de investigação já processou quase 1 PB de logs da Vercel de toda a rede e de API, e que o escopo da investigação vai muito além do incidente de invasão da Context.ai. Rauch disse que o atacante roubou as chaves da conta da Vercel ao espalhar malware nos computadores, e que já notificou as vítimas.
Vetores de ataque e padrões de comportamento: detalhes da investigação
De acordo com a página de investigação de segurança da Vercel e com a publicação pública de Guillermo Rauch no X, este incidente teve origem em um aplicativo OAuth do Google Workspace de uma ferramenta de IA de terceiros, Context.ai, usada por um funcionário da Vercel. O atacante obteve acesso por meio das permissões fornecidas pela referida ferramenta, adquirindo gradualmente a conta pessoal do funcionário no Google Workspace da Vercel e a conta da Vercel; após entrar no ambiente da Vercel, o atacante fez uma enumeração sistemática e descriptografou variáveis de ambiente não sensíveis.
Em sua postagem no X, Rauch apontou que os logs mostram que, após obter as chaves, o atacante realiza imediatamente chamadas rápidas e abrangentes de API, com foco na enumeração de variáveis de ambiente não sensíveis, formando um padrão de comportamento que pode ser reconhecido de forma repetível. A Vercel avalia que o atacante tinha um conhecimento aprofundado da interface de APIs do produto Vercel, com alto nível técnico.
Novas descobertas após a ampliação da investigação e cooperação do setor
De acordo com a atualização de segurança de 22 de abril da Vercel, após ampliar a investigação, foram confirmadas duas novas descobertas:
· Foi identificada invasão de um pequeno número de outras contas neste incidente; os clientes afetados já foram notificados
· Foi identificada a existência de registros de invasões anteriores de contas de alguns clientes não relacionados a este incidente; a origem é presumivelmente engenharia social, malware ou outros meios; os clientes relacionados já foram notificados
A Vercel aprofundou a colaboração com parceiros do setor, como a Microsoft, AWS e Wiz, e está colaborando com a Google Mandiant e com autoridades de aplicação da lei na investigação.
De acordo com a atualização de segurança de 20 de abril da Vercel, a equipe de segurança da Vercel, em colaboração com GitHub, Microsoft, npm e Socket, confirmou que todos os pacotes npm publicados pela Vercel não foram afetados, sem evidências de adulteração; a avaliação de segurança da cadeia de suprimentos está normal. A Vercel também divulgou indicadores de comprometimento (IOC) para verificação pela comunidade, incluindo o ID do aplicativo OAuth relacionado: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com; a Vercel recomenda que administradores do Google Workspace confirmem se o uso do referido aplicativo ocorreu.
Perguntas frequentes
Qual é o vetor de ataque fundamental deste incidente de segurança da Vercel?
De acordo com a página de investigação de segurança da Vercel, o incidente teve origem no aplicativo OAuth do Google Workspace de uma ferramenta de IA de terceiros, Context.ai, usada por um funcionário da Vercel; o atacante, por meio desse acesso, obteve gradualmente a conta do funcionário no ambiente da Vercel, e então enumerou e descriptografou variáveis de ambiente não sensíveis.
O escopo do ataque confirmado pelo CEO da Vercel já ultrapassou o incidente inicial da Context.ai?
De acordo com a postagem pública de Guillermo Rauch no X em 22 de abril, no horário do Pacífico dos EUA, as informações de ameaças indicam que as atividades do atacante ultrapassaram o escopo único de invasão da Context.ai; por meio de malware, ele roubou chaves de acesso de vários provedores de serviços em uma rede mais ampla, e outros supostos afetados já foram notificados para alternar credenciais.
Os pacotes npm publicados pela Vercel foram afetados por este incidente de segurança?
De acordo com a atualização de segurança de 20 de abril da Vercel, a equipe de segurança da Vercel, em colaboração com GitHub, Microsoft, npm e Socket, confirmou que todos os pacotes npm publicados pela Vercel não foram afetados, sem evidências de adulteração; a avaliação de segurança da cadeia de suprimentos está normal.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
