Pilvetearendusplatvormi rünnak, mis on seotud kompromitteeritud AI-tööriistaga, teeb muret krüptoraha esikülgede jaoks

Pilvetearendusplatvormi Verceli turvainsident on põhjustanud muret krüptoruumis pärast ettevõtte teatamist, et ründajad olid ründanud osa oma sisemistest süsteemidest kolmanda osapoole AI-tööriista kaudu.

Kuna paljud krüptoprojektid kasutavad oma kasutajaliideste majutamiseks Vercelit, rõhutab see rünnak just seda, kui suur sõltuvus Web3-meeskondadel on tsentraliseeritud pilveteenustest. See sõltuvus loob sageli üleliialdatud rünnakupinna – ühe, mis võib vältida tavalisi kaitsemeetmeid, näiteks DNS-i jälgimist, ja otse kompromitteerida esiletuleva (frontend) terviklikkust.

Vercel teatas pühapäeval, et sissetung oli alguse saanud kolmanda osapoole AI-tööriistast, mis oli seotud Google Workspace OAuth-rakendusega. Ettevõtte andmetel oli see tööriist rünnatud laiemas insidents, milles oli mõjutatud sadu kasutajaid mitmest organisatsioonist. Vercel kinnitas, et mõned piiratud kliendid olid mõjutatud, kuid teenused jäid töös.

Ettevõte on kaasatanud väliste insidentide reageerijaid ja teatanud juhtumist politseile ning uurib samuti, kuidas andmeid võis juurdepääseta.

Ülevalt olevas kontos olid loetletud ligipääsuklahvid, lähtekood, andmebaasi kirjed ning deployimise autentimisandmed (NPM- ja GitHub-tokendid). Kuid need ei ole iseseisvalt kinnitatud väited.

Tõendina sisaldas üks neist näidistest umbes 580 töötaja andmeid – nimed, korporatiivsed e-postiaadressid, kontoseisundid ja tegevusajatemplid – koos sisemise paneeli ekraanipildiga.

Ülevalt oleva rünnaku vastutaja pole selge. Aruannete kohaselt keeldusid ShinyHuntersi tuumagrupi liikmed osalemisest. Müüja väitis ka, et ta oli kontaktinud Vercelit ja nõudnud lunastust, kuigi ettevõte ei ole avaldanud, kas läbirääkimisi toimusid.

Kolmanda osapoole AI-tööriista kompromitteerumine paljastab peidetud infrastruktuuri riske

Ründajad ei rünnanud Vercelit otse, vaid kasutasid Google Workspace’i OAuth-ligipääsu. Selline tarnepiiri nõrk koht on keerulisem tuvastada, kuna see sõltub usaldusväärsetest integratsioonidest, mitte ilmsest ohust.

Tarkvarakogukonnas tuntud arendaja Theo Browne ütles, et konsulteeritud isikute hinnangul kannatasid kõige rohkem Verceli sisemised Linear ja GitHub integratsioonid.

Ta märkis, et Vercelis tähistatud tundlikud keskkonna muutujad on kaitstud; teisi muutujaid, millele sellist tähistust ei antud, tuleb pöörata, et vältida sama saatust.

Vercel järgnes sellele juhiselt ja soovitas klientidel üle vaadata oma keskkonna muutujad ning kasutada platvormi tundlike muutujate funktsiooni. Selline kompromitteerumine on eriti murespärane, kuna keskkonna muutujad sisaldavad sageli saladusi, näiteks API-võtmeid, privaatseid RPC-lõpp-punkte ja deployimise autentimisandmeid.

Kui need väärtused on kompromitteeritud, võivad ründajad võimalikult muuta build-eid, sisestada kurjasti koodi või saada ligipääsu ühendatud teenustele laiemaks ekspluateerimiseks.

Selline kompromitteerumine erineb tavapärastest rünnakutest, mis sihivad DNS-i kirjeid või domeeniregistraatoreid: see toimub majutuskihi tasemel, st build-pipaali tasemel. See võimaldab ründajatel kompromitteerida tegelikult kasutajatele esitatavat esiletulevat (frontend), mitte lihtsalt suunata külastajaid teisele leheküljele.

Mõned projektid salvestavad keskkonna muutujates tundlikku konfiguratsiooniandmeid, sealhulgas rahakottadele seotud teenused, analüütikapakud ja infrastruktuuri lõpp-punktid. Kui neid väärtusi on juurdepääsetud, peaksid meeskonnad eeldama nende kompromitteerumist ja neid pöörama.

Esiletulevate (frontend) rünnakud on juba korduvalt olnud krüptoruumis probleemiks. Viimased domeeniülesemine (domain hijacking) juhtumid on viinud kasutajate suunamiseni valesti kujundatud kloonidele, mille eesmärk on rahakotte tühjendada. Kuid need rünnakud tulevad tavaliselt DNS-i või registreerija tasemelt. Nende muutuste tuvastamine on sageli võimalik kiiresti jälgimisriistadega.

Majutuskihi kompromitteerumine erineb sellest. Ründajad ei suuna kasutajaid valele saidile, vaid muudavad tegelikult esiletulevat (frontend). Kasutajad võivad kokku puutuda õiguspärase domeeniga, mis käivitab kurjasti koodi, kuid nad ei tea, mis toimub.

Uurimine jätkub, samal ajal kui krüptoprojektid hindavad oma riski

Sellest, kui sügavale rünnak ulatus või kas mingit kliendi deployimist muudeti, pole selget teavet. Vercel ütles, et uurimine on pooleli ja ettevõte teavitab huvitatud osapooli, kui saadakse lisateavet. Samuti ütles ettevõte, et mõjutatud kliendid saavad teateid otse.

Publikatsiooni hetkel ei ole ükski suur krüptoprojekt avalikult kinnitanud, et oleks saanud teate Vercelilt. Siiski oodatakse, et see juhtum põhjustab meeskondade infrastruktuuri auditimise, autentimisandmete pööramise ning saladuste haldamise üle vaatamise.

Suurem õppetund on see, et krüptoesiletulevate (crypto frontend) turvalisus ei lõppe DNS-kaitse või nutikate lepingute (smart contract) auditeerimisega. Sõltuvus pilveteenustest, CI/CD-pipaalistest ja AI-integratsioonidest suurendab veelgi riske.

Kui üks neist usaldusväärsetest teenustest on kompromitteeritud, võivad ründajad kasutada kanalit, mis vältib tavalisi kaitsemeetmeid ja mõjutab otse kasutajaid.

Verceli rünnak, mis oli seotud kompromitteeritud AI-tööriistaga, illustreerib, kuidas tarnepiiri nõrkused kaasaegsetes arendusstackides võivad põhjustada ketireageerimisi kogu krüptoruumis.

Teie pank kasutab teie raha. Te saate alles jäägid. Vaadake meie tasuta videot selle kohta, kuidas saada oma enda pank