Генеральный директор Vercel полагает, что злоумышленники, стоящие за недавним взломом, вероятно, получили помощь от ИИ, заявив, что атака развивалась с «поразительной скоростью» и глубоким пониманием инфраструктуры компании.
В публичном обновлении после инцидента Гильермо Раух предположил, что вторжение началось с скомпрометированной учетной записи сотрудника, связанной с Context.ai. Злоумышленник использовал этот доступ для захвата учетной записи сотрудника в Google Workspace Vercel, чтобы проникнуть в системы компании. Оттуда хакер исследовал переменные среды — в том числе не отмеченные как конфиденциальные — и использовал это для более глубокого проникновения.
Раух считает, что злоумышленник мог действовать не в одиночку.
«Мы полагаем, что группа злоумышленников очень изощренна и, я сильно подозреваю, что ее действия были значительно ускорены ИИ», — сказал Раух. «Они действовали с поразительной скоростью и глубоким пониманием Vercel».
Раух не стал вдаваться в подробности относительно роли ИИ, отметив лишь, что киберпреступники не теряли времени. Они проникли, нашли то, что им нужно, и продолжили движение — без каких-либо сложных эксплойтов, только злоупотребление OAuth и излишнее доверие.
Исследователи из Hudson Rock указывают на заражение инфостилером в феврале как на вероятную отправную точку: вредоносное ПО Lumma stealer похитило корпоративные учетные данные с машины сотрудника. Та же система использовалась для загрузки скриптов «авто-фарма» Roblox и эксплойт-инструментов — это распространенный способ закрепления таких инфекций.
Vercel заявляет, что переменные среды клиентов шифруются при хранении, но также разрешает помечать некоторые из них как «неконфиденциальные». Это различие, по-видимому, сыграло свою роль, когда злоумышленник проник внутрь, предоставив ему набор значений, которые не имели такого же уровня защиты и были легче для анализа.
На данный момент Vercel считает, что количество пострадавших клиентов «весьма ограничено», и что компания связалась с теми, кто находится в зоне риска. Она также настоятельно призывает пользователей сменить учетные данные, следить за журналами доступа и пересмотреть то, что они пометили как конфиденциальное. За кулисами, по словам Рауха, Vercel работает с внешними специалистами по реагированию на инциденты, отраслевыми партнерами и правоохранительными органами при содействии Mandiant, принадлежащей Google.
Вне компании эта история уже обрела собственную жизнь. Исследователи из OX Security утверждают, что данные, предположительно украденные при взломе, предлагаются к продаже на BreachForums за 2 миллиона долларов, включая API-ключи, учетные данные для развертывания, токены GitHub и npm, а также то, что описывается как внутренние записи базы данных. В том же объявлении, как сообщается, содержится файл с подробной информацией о сотнях сотрудников Vercel.
Объявление о продаже размещено под именем «ShinyHunters», но сама группа заявляет о своей непричастности. Это оставляет обычную неопределенность в отношении того, кто на самом деле стоит за этим предложением.
Vercel, со своей стороны, опубликовала обновление сегодня, в котором говорится, что подтверждено: ни один из пакетов npm, опубликованных Vercel, не был скомпрометирован. «Нет никаких доказательств вмешательства, и мы считаем, что цепочка поставок остается безопасной», — добавляется в заявлении.
Пока Vercel находится в режиме устранения последствий и призывает клиентов сменить учетные данные. Если злоумышленники действительно действовали с участием ИИ, им не понадобилось ничего, кроме работающего доступа. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
