El CEO de Vercel afirmó que el reciente incidente de seguridad fue llevado a cabo por un grupo de hackers "altamente complejo" que posiblemente utilizó inteligencia artificial, lo que resultó en la intrusión de sistemas internos y la filtración de algunas credenciales de clientes.
“Creemos que el grupo atacante es muy sofisticado, y sospecho fuertemente que la inteligencia artificial ha acelerado enormemente sus ataques,” dijo el CEO Guillermo Rauch en Twitter, y añadió que los atacantes “actúan con una velocidad asombrosa y tienen un conocimiento profundo de Vercel”.
La empresa es una plataforma en la nube orientada a desarrolladores, dijo el domingo que descubrió que algunos de sus sistemas internos fueron accesados sin autorización y que está investigando activamente. El incidente afectó a algunos clientes cuyas credenciales fueron comprometidas, por lo que la empresa recomienda a los clientes que cambien inmediatamente sus credenciales.
Esta vulnerabilidad de seguridad se originó porque la herramienta de inteligencia artificial de terceros Context.ai utilizada por un empleado de Vercel fue comprometida; los atacantes utilizaron esta herramienta para tomar el control de la cuenta de Google Workspace del empleado y obtener acceso a ciertos entornos de Vercel y variables de entorno no sensibles.
Esta divulgación destaca la creciente preocupación por los riesgos de seguridad asociados con las integraciones de terceros y las herramientas de inteligencia artificial, ya que los atacantes aprovechan cada vez más las vulnerabilidades de la cadena de suministro para infiltrarse en las organizaciones.
Vercel y criptomonedas
La investigadora senior de seguridad blockchain de CertiK, Natalie Newson, dijo a Decrypt que este incidente ha llamado particularmente la atención de los desarrolladores de criptomonedas. “Dado que muchas interfaces de usuario de criptomonedas se alojan en Vercel, una vez comprometidas, los atacantes podrían insertar programas maliciosos para robar fondos de billeteras. Los usuarios que interactúan con páginas confiables no esperarían ningún comportamiento malicioso”, añadió, y completó: “Las vulnerabilidades en el ámbito de las criptomonedas pueden provocar... grandes pérdidas financieras”
Aunque smart contract el sistema sigue siendo seguro, la intrusión en el frontend sigue representando un riesgo. “La intrusión en el frontend es especialmente perjudicial para los usuarios finales,” señaló ella, enfatizando este punto. Beef Exchange sufrió un incidente en abril de este año en el que se robaron 316.000 dólares de carteras de usuarios.
She said the upward trend intelligent agent AI has led many users to release the latest applications and extensions to improve productivity, while malicious actors are also exploiting this trend. She stated: “Enterprises should exercise extreme caution when using new AI applications and extensions, while reviewing their internal security models to ensure that, even in the event of a security breach, the impact is minimized.”
Rauh indicó que el ataque se llevó a cabo mediante "una serie de métodos", comenzando con la compromisión de cuentas de empleados, luego escalando gradualmente hasta obtener un mayor acceso al entorno interno. Aunque Vercel almacena las variables de entorno de los clientes con cifrado estático, la empresa permite marcar algunas variables como no sensibles, lo que permitió a los atacantes acceder a ellas.
La empresa considera que el número de clientes afectados es limitado y ha priorizado el contacto con los clientes que podrían haberse visto afectados. Vercel implementó posteriormente medidas adicionales de monitoreo y protección, y revisó su cadena de suministro para garantizar la seguridad de proyectos como Next.js y Turbopack.
El CEO de Nillion, John Woods, le dijo a Decrypt que este “subconjunto limitado” generalmente significa que el grupo de clientes afectados observado actualmente parece limitado, pero esto no excluye necesariamente una difusión interna más amplia o un riesgo aguas abajo más extenso. Woods dijo: “En las plataformas en la nube modernas, el alcance del impacto no depende solo de cuántos clientes inicialmente parecen afectados, sino también del alcance que el sistema comprometido puede tener en segundo plano.”
Sugirió que las empresas sigan una serie de prácticas recomendadas para evitar este tipo de situaciones: “Refuerce la seguridad de la autorización OAuth, aplique el principio de mínimo privilegio, implemente controles estrictos sobre variables de entorno sensibles, separe la implementación front-end de los permisos de claves o firmas, y monitoree de cerca las implementaciones y los registros.”
“Para cualquier persona cuyas credenciales puedan haber sido comprometidas, lo prioritario es revocar el acceso, rotar las credenciales y revisar cada sistema al que esas credenciales podrían haber tenido acceso,” añadió, señalando que “desde un nivel más elevado, la lección es evitar arquitecturas en las que una sola filtración pueda tener un impacto demasiado amplio.”
Aún no está claro quién planeó el ataque. Captura de pantalla Un usuario del foro del grupo de hackers llamado “ShinyHunters” afirmó haber comprometido a Vercel y estar vendiendo el acceso a los datos de la empresa, incluyendo el código fuente, claves API y sistemas internos.
El actor (que también podría estar suplantando a ShinyHunters) afirmó haber discutido con la empresa un rescate de 2 millones de dólares. Vercel aún no ha comentado al respecto.