أشار الرئيس التنفيذي لـ Vercel إلى أن الحادث الأمني الأخير نفذه تنظيم قرصنة "معقد للغاية" وربما استخدم الذكاء الاصطناعي، مما أدى إلى اختراق الأنظمة الداخلية وتسريب بعض بيانات اعتماد العملاء.
قال المدير التنفيذي خييرمو راوش: "نعتقد أن منظمة الهجوم都非常 ماهرة، وأشك بشدة أن الذكاء الاصطناعي قد عجّل بشكل كبير من هجماتهم." تويتر وأضاف أن المهاجمين "يتصرفون بسرعة مذهلة ولديهم فهم عميق لـ Vercel".
الشركة هي منصة سحابية موجهة للمطورين، قالت يوم الأحد إنها اكتشفت أن بعض أنظمتها الداخلية تعرضت لوصول غير مصرح به، وهي تجري تحقيقات نشطة. أثر هذا الحدث على بعض العملاء الذين تم تسريب بيانات اعتمادهم، ولذلك تنصح الشركة العملاء بتبديل بيانات اعتمادهم فورًا.
نشأت هذه الثغرة الأمنية من اختراق أداة طرف ثالث تُسمى Context.ai المستخدمة من قبل موظف في Vercel، حيث استغل المهاجمون هذه الأداة للسيطرة على حساب الموظف في Google Workspace، وحصلوا على الوصول إلى بعض بيئات Vercel ومتغيرات البيئة غير الحساسة.
يُبرز هذا الكشف المخاوف المتزايدة بشأن المخاطر الأمنية الناتجة عن التكاملات الخارجية وأدوات الذكاء الاصطناعي، حيث يستغل المهاجمون بشكل متزايد ثغرات سلسلة التوريد للوصول إلى المنظمات.
Vercel والعملات المشفرة
قالت ناتالي نيوسن، باحثة أمن البلوكشين المتقدمة في CertiK، لديكريبت: "لقد جذبت هذه الحادثة انتباه مطوري العملات المشفرة بشكل خاص. نظرًا لأن العديد من واجهات المستخدم للعملات المشفرة تُستضاف على Vercel، فإن المهاجمين، بمجرد اختراقها، يمكنهم زرع برامج ضارة لسرقة أموال المحافظ. لن يتوقع المستخدمون الذين يتفاعلون مع صفحات موثوقة أي سلوك ضار،" وأضافت: "يمكن أن تؤدي الثغرات في مجال العملات المشفرة إلى... خسائر مالية كبيرة"
حتى مع كون العقد الذكي لا يزال آمنًا، فإن الاختراق الأمامي يظل يشكل خطرًا. "إن الاختراق الأمامي ضار بشكل خاص للمستخدمين النهائيين،" أشارت إلى ذلك وشددت عليه. بورصة الثور شهدت في أبريل من هذا العام سرقة محفظة مستخدم بقيمة 316,000 دولار أمريكي.
She said the upward trend Agent AI has led many users to release the latest applications and extensions to improve productivity, while malicious actors are also exploiting this trend. She stated: "Enterprises should exercise extreme caution when using new AI applications and extensions, while reviewing their internal security models to ensure that even in the event of a security breach, the impact is minimized."
أشار راو إلى أن الهجوم تم من خلال "سلسلة من الوسائل"، بدأت بسرقة حسابات الموظفين، ثم تصاعدت تدريجيًا حتى حصل المهاجمون على وصول أكبر إلى البيئة الداخلية. وعلى الرغم من أن Vercel تقوم بتخزين متغيرات العملاء مشفرة بشكل ثابت، إلا أن الشركة تسمح بتحديد بعض المتغيرات كمتغيرات غير حساسة، مما سمح للمهاجمين بالوصول إليها.
تعتقد الشركة أن عدد العملاء المتأثرين محدود، وأفادت بأنها اتصلت أولًا بالعملاء المحتملين المتأثرين. ثم قام Vercel بتنفيذ تدابير مراقبة وحماية إضافية، مع مراجعة سلسلة توريداته لضمان أمان مشاريع مثل Next.js وTurbopack.
قال جون وودز، الرئيس التنفيذي لشركة Nillion، لديكريبت إن هذا "الفرع المحدود" يعني عادةً أن مجموعة العملاء المتأثرين التي تم ملاحظتها حاليًا تبدو محدودة، لكن هذا لا يستبعد بالضرورة انتشارًا داخليًا أوسع أو مخاطر لاحقة أوسع. وأضاف وودز: "في منصات السحابة الحديثة، لا يعتمد نطاق التأثير فقط على عدد العملاء الذين تأثروا بشكل واضح في البداية، بل أيضًا على مدى وصول النظام المتضرر في الخلفية."
He recommended that businesses follow a series of best practices to avoid such situations. "Strengthen OAuth authorization security, adopt the principle of least privilege, enforce strict controls over sensitive environment variables, separate frontend deployment from key or signing permissions, and closely monitor deployments and logs," he said.
"لأي شخص قد يتم سرقة بيانات اعتماده، فإن الأولوية القصوى هي سحب صلاحيات الوصول، وتغيير بيانات الاعتماد، ومراجعة كل نظام قد تصل إليه هذه البيانات،" أضاف، مشيرًا إلى أن "الدرس الأكبر من حيث المستوى الأعلى هو تجنب اعتماد هياكل قد تتأثر بشكل واسع بسبب تسريب واحد."
لا يزال غير واضح من نظّم الهجوم. لقطة شاشة مستخدم من منظمة قرصنة تُسمى "ShinyHunters" ادّعى على منتدى أنه اختراق Vercel ويباع الآن الوصول إلى بيانات الشركة، بما في ذلك الكود المصدر ومفاتيح API والأنظمة الداخلية.
ادّعى الممثل (الذي قد يكون أيضًا يتنكر كـ ShinyHunters) أنه تحدث مع الشركة بشأن مطلب فدية بقيمة 2 مليون دولار. لم تعلّق Vercel بعد على هذا الأمر.