Παραβίαση πλατφόρμας Cloud Dev συνδεδεμένη με παραβιασμένο εργαλείο AI εγείρει συναγερμό για crypto frontends

Το περιστατικό ασφαλείας της πλατφόρμας ανάπτυξης cloud Vercel προκάλεσε συναγερμό στη βιομηχανία κρυπτονομισμάτων, μετά την αποκάλυψη της εταιρείας ότι οι επιτιθέμενοι διέρρηξαν μέρη των εσωτερικών της συστημάτων μέσω ενός εργαλείου τεχνητής νοημοσύνης τρίτου μέρους.

Επειδή πολλά έργα κρυπτονομισμάτων βασίζονται στο Vercel για τη φιλοξενία των διεπαφών χρήστη τους, η παραβίαση αναδεικνύει πόσο εξαρτημένες είναι οι ομάδες Web3 από την κεντρικοποιημένη υποδομή cloud. Αυτή η εξάρτηση δημιουργεί μια συχνά παραβλεπόμενη επιφάνεια επίθεσης—μία που μπορεί να παρακάμψει παραδοσιακές άμυνες όπως η παρακολούθηση DNS και να διακυβεύσει απευθείας την ακεραιότητα του frontend.

Το Vercel ανακοίνωσε την Κυριακή ότι η εισβολή προήλθε από ένα εργαλείο AI τρίτου μέρους που συνδέεται με μια εφαρμογή Google Workspace OAuth. Αυτό το εργαλείο είχε παραβιαστεί σε ένα μεγαλύτερο περιστατικό που επηρέασε εκατοντάδες χρήστες από πολλαπλούς οργανισμούς, δήλωσε η εταιρεία. Το Vercel επιβεβαίωσε ότι επηρεάστηκε ένα περιορισμένο υποσύνολο πελατών και οι υπηρεσίες του παρέμειναν λειτουργικές.

Η εταιρεία έχει προσλάβει εξωτερικούς ανταποκριτές περιστατικών και ειδοποίησε την αστυνομία ενώ παράλληλα διερευνά πώς μπορεί να έχουν αποκτηθεί πρόσβαση στα δεδομένα.

Κλειδιά πρόσβασης, πηγαίος κώδικας, εγγραφές βάσης δεδομένων και διαπιστευτήρια ανάπτυξης (tokens NPM και GitHub) αναφέρθηκαν για τον λογαριασμό. Ωστόσο, αυτοί δεν είναι ανεξάρτητα επιβεβαιωμένοι ισχυρισμοί.

Ως απόδειξη, ένα από αυτά τα δείγματα περιελάμβανε περίπου 580 εγγραφές εργαζομένων με ονόματα, εταιρικές διευθύνσεις email, κατάσταση λογαριασμού και χρονικές σημάνσεις δραστηριότητας, μαζί με ένα στιγμιότυπο οθόνης ενός εσωτερικού πίνακα ελέγχου.

Η απόδοση παραμένει ασαφής. Άτομα που συνδέονται με την κύρια ομάδα ShinyHunters αρνήθηκαν την εμπλοκή τους, σύμφωνα με αναφορές. Ο πωλητής δήλωσε επίσης ότι επικοινώνησε με το Vercel, απαιτώντας λύτρα, αν και η εταιρεία δεν έχει αποκαλύψει εάν διεξήχθησαν διαπραγματεύσεις.

Ο συμβιβασμός AI τρίτου μέρους εκθέτει κρυφό κίνδυνο υποδομής

Αντί να επιτεθούν απευθείας στο Vercel, οι επιτιθέμενοι αξιοποίησαν την πρόσβαση OAuth που συνδέεται με το Google Workspace. Μια αδυναμία εφοδιαστικής αλυσίδας αυτής της φύσης είναι πιο δύσκολο να εντοπιστεί, καθώς εξαρτάται από αξιόπιστες ενσωματώσεις αντί για προφανείς ευπάθειες.

Ο Theo Browne, ένας προγραμματιστής γνωστός στην κοινότητα λογισμικού, δήλωσε ότι οι σύμβουλοι υπέδειξαν ότι οι εσωτερικές ενσωματώσεις Linear και GitHub του Vercel επωμίστηκαν το βάρος των προβλημάτων.

Παρατήρησε ότι οι μεταβλητές περιβάλλοντος που επισημαίνονται ως ευαίσθητες στο Vercel προστατεύονται· άλλες μεταβλητές που δεν επισημάνθηκαν πρέπει να εναλλαχθούν για να αποφευχθεί η ίδια μοίρα.

Το Vercel ακολούθησε αυτή την οδηγία, προτρέποντας τους πελάτες να ελέγξουν τις μεταβλητές περιβάλλοντος τους και να χρησιμοποιήσουν τη λειτουργία ευαίσθητων μεταβλητών της πλατφόρμας. Αυτού του είδους ο συμβιβασμός είναι ιδιαίτερα ανησυχητικός επειδή οι μεταβλητές περιβάλλοντος συχνά περιέχουν μυστικά όπως κλειδιά API, ιδιωτικά endpoints RPC και διαπιστευτήρια ανάπτυξης.

Εάν αυτές οι τιμές διακυβεύτηκαν, οι επιτιθέμενοι μπορεί να είναι σε θέση να αλλάξουν τις κατασκευές, να εισάγουν κακόβουλο κώδικα ή να αποκτήσουν πρόσβαση σε συνδεδεμένες υπηρεσίες για ευρύτερη εκμετάλλευση.

Σε αντίθεση με τυπικές παραβιάσεις που στοχεύουν εγγραφές DNS ή καταχωρητές domain, ο συμβιβασμός στο επίπεδο φιλοξενίας συμβαίνει στο επίπεδο της διαδικασίας κατασκευής. Αυτό επιτρέπει στους επιτιθέμενους να διακυβεύσουν το πραγματικό frontend που παραδίδεται στους χρήστες αντί απλώς να ανακατευθύνουν τους επισκέπτες.

Ορισμένα έργα αποθηκεύουν ευαίσθητα δεδομένα διαμόρφωσης σε μεταβλητές περιβάλλοντος, συμπεριλαμβανομένων υπηρεσιών που σχετίζονται με πορτοφόλια, παροχέων αναλυτικών στοιχείων και endpoints υποδομής. Εάν αυτές οι τιμές προσπελάστηκαν, οι ομάδες μπορεί να πρέπει να υποθέσουν ότι διακυβεύτηκαν και να τις εναλλάξουν.

Οι επιθέσεις frontend έχουν ήδη αποτελέσει επαναλαμβανόμενη πρόκληση στον χώρο των κρυπτονομισμάτων. Πρόσφατα περιστατικά αεροπειρατείας domain έχουν οδηγήσει σε ανακατεύθυνση χρηστών σε κακόβουλους κλώνους σχεδιασμένους να αδειάσουν πορτοφόλια. Αλλά αυτές οι επιθέσεις συνήθως προέρχονται από το επίπεδο DNS ή καταχωρητή. Αυτές οι αλλαγές μπορούν συχνά να εντοπιστούν γρήγορα με εργαλεία παρακολούθησης.

Ένας συμβιβασμός στο επίπεδο φιλοξενίας διαφέρει. Αντί να κατευθύνουν τους χρήστες σε μια ψεύτικη ιστοσελίδα, οι επιτιθέμενοι τροποποιούν το πραγματικό frontend. Οι χρήστες μπορεί να συναντήσουν ένα νόμιμο domain που εξυπηρετεί κακόβουλο κώδικα, αλλά δεν θα έχουν ιδέα τι συμβαίνει.

Η έρευνα συνεχίζεται καθώς τα έργα κρυπτονομισμάτων ελέγχουν την έκθεση

Πόσο βαθιά διείσδυσε η παραβίαση, ή εάν άλλαξαν οποιεσδήποτε αναπτύξεις πελατών, παραμένει ασαφές. Το Vercel δήλωσε ότι η έρευνά του συνεχίζεται και θα ενημερώσει τους ενδιαφερόμενους καθώς θα διατίθενται περισσότερες πληροφορίες. Δήλωσε επίσης ότι οι επηρεαζόμενοι πελάτες επικοινωνούν απευθείας.

Κανένα σημαντικό έργο κρυπτονομισμάτων δεν έχει επιβεβαιώσει δημόσια τη λήψη ειδοποίησης από το Vercel μέχρι τη στιγμή της δημοσίευσης. Αλλά το περιστατικό αναμένεται να προτρέψει τις ομάδες να ελέγξουν την υποδομή τους, να εναλλάξουν διαπιστευτήρια και να εξετάσουν πώς διαχειρίζονται τα μυστικά.

Το μεγαλύτερο μάθημα είναι ότι η ασφάλεια στα crypto frontends δεν τελειώνει στην προστασία DNS ή στους ελέγχους έξυπνων συμβολαίων. Οι εξαρτήσεις από πλατφόρμες cloud, διαδικασίες CI/CD και ενσωματώσεις AI αυξάνουν περαιτέρω τον κίνδυνο.

Όταν μία από αυτές τις αξιόπιστες υπηρεσίες διακυβευτεί, οι επιτιθέμενοι θα μπορούσαν να εκμεταλλευτούν ένα κανάλι που παρακάμπτει τις παραδοσιακές άμυνες και επηρεάζει άμεσα τους χρήστες.

Το hack του Vercel, που συνδέεται με ένα διακυβευμένο εργαλείο AI, επεξηγεί πώς οι ευπάθειες εφοδιαστικής αλυσίδας σε σύγχρονες στοίβες ανάπτυξης μπορούν να έχουν διαδοχικές επιπτώσεις σε όλο το οικοσύστημα κρυπτονομισμάτων.

Η τράπεζά σας χρησιμοποιεί τα χρήματά σας. Εσείς λαμβάνετε τα υπολείμματα. Παρακολουθήστε το δωρεάν βίντεό μας για το πώς να γίνετε η δική σας τράπεζα