Генеральный директор Vercel Гильермо Раух 22 апреля по тихоокеанскому времени в США опубликовал в X ход выполнения расследования по вопросам безопасности, заявив, что команда по расследованию обработала почти 1 PB журналов Vercel по всей сети и API, при этом масштаб расследования намного превышает инцидент взлома Context.ai. Раух заявил, что злоумышленники, распространив вредоносное ПО на компьютеры, похитили ключи учетных записей Vercel; он уведомил пострадавших.
Векторы атак и модели поведения: подробности расследования
Согласно странице расследования по вопросам безопасности Vercel и публичной публикации Гильермо Рауха в X, этот инцидент возник из-за компрометации приложения Google Workspace OAuth стороннего AI-инструмента Context.ai, которым пользовался сотрудник Vercel. Злоумышленники получили доступ через права, предоставленные этому инструменту, постепенно завладев личной учетной записью Google Workspace Vercel сотрудника и учетной записью Vercel. После входа в среду Vercel они систематически перечисляли и расшифровывали несекретные переменные окружения.
В публикации Рауха в X указано, что согласно журналам после получения ключей злоумышленники сразу выполняли быстрые, всеобъемлющие вызовы API, уделяя основное внимание перечислению несекретных переменных окружения, формируя повторяемый распознаваемый шаблон поведения. Vercel оценивает, что у злоумышленников есть глубокие знания о интерфейсе API продуктов Vercel и очень высокий технический уровень.
Новые результаты после расширения расследования и отраслевое взаимодействие
Согласно обновлению безопасности Vercel от 22 апреля, после расширения расследования подтверждены два дополнительных результата:
· Обнаружено, что в этом инциденте были скомпрометированы несколько других учетных записей; затронутым клиентам было сообщено
· Обнаружено, что у некоторых клиентских учетных записей есть предыдущие записи о взломах, не связанные с этим инцидентом; предполагается, что причина — социальная инженерия, вредоносное ПО или другие способы, соответствующим клиентам было сообщено
Vercel углубил сотрудничество с отраслевыми партнерами, включая Microsoft, AWS и Wiz, а также координирует расследование с Google Mandiant и правоохранительными органами.
Согласно обновлению безопасности Vercel от 20 апреля, команда безопасности Vercel вместе с GitHub, Microsoft, npm и Socket подтвердила, что все npm-пакеты, выпущенные Vercel, не были затронуты, нет доказательств подмены, а оценка безопасности цепочки поставок проходит нормально. Vercel также раскрыла индикаторы компрометации (IOC) для проверки сообществом, включая соответствующий ID OAuth-приложения: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com; Vercel рекомендует администраторам Google Workspace проверить, используется ли указанное выше приложение.
Часто задаваемые вопросы
Каков основной вектор атаки этого инцидента безопасности Vercel?
Согласно странице расследования по вопросам безопасности Vercel, инцидент возник из-за компрометации приложения Google Workspace OAuth стороннего AI-инструмента Context.ai, которым пользовался сотрудник Vercel. Злоумышленники получили доступ через права, предоставленные этому инструменту, постепенно завладев учетной записью Vercel сотрудника, после чего вошли в среду Vercel, перечислили и расшифровали несекретные переменные окружения.
Подтвержденный генеральным директором Vercel охват атаки уже вышел за пределы первоначального инцидента Context.ai?
Согласно публичной публикации Гильермо Рауха в X от 22 апреля по тихоокеанскому времени, разведданные об угрозах показывают, что активность злоумышленников вышла за пределы единственного охвата взлома Context.ai: с помощью вредоносного ПО они похищали ключи доступа у более широкого круга провайдеров в сети, а другим предполагаемым пострадавшим уже сообщили и попросили обновить учетные данные.
Были ли npm-пакеты, опубликованные Vercel, затронуты этим инцидентом безопасности?
Согласно обновлению безопасности Vercel от 20 апреля, команда безопасности Vercel вместе с GitHub, Microsoft, npm и Socket подтвердила, что все npm-пакеты, выпущенные Vercel, не были затронуты, нет доказательств подмены, а оценка безопасности цепочки поставок соответствует норме.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
