En resumen
- La plataforma en la nube Vercel ha revelado detalles de un incidente de seguridad que comprometió algunas credenciales de clientes.
- El CEO de la empresa, Guillermo Raugh, reveló que el grupo atacante era "altamente sofisticado" y probablemente utilizó herramientas de IA.
- Muchos frontends de cripto utilizan Vercel para alojar su interfaz de usuario, y la empresa recomienda la rotación inmediata de credenciales.
El CEO de Vercel dijo que un grupo de hackers "altamente sofisticado", potencialmente asistido por IA, estuvo detrás de un reciente incidente de seguridad que expuso algunas credenciales de clientes tras una brecha en los sistemas internos.
"Creemos que el grupo atacante es altamente sofisticado y, sospecho firmemente, acelerado significativamente por IA", tuiteó el CEO Guillermo Rauch, añadiendo que los atacantes "se movieron con velocidad sorprendente y comprensión profunda de Vercel".
La empresa, que es una plataforma en la nube para desarrolladores, dijo el domingo que había identificado acceso no autorizado a ciertos sistemas internos y estaba investigando activamente. El incidente afectó a un subconjunto limitado de clientes cuyas credenciales fueron comprometidas, lo que llevó a la empresa a recomendar la rotación inmediata de credenciales.
La brecha se originó por el compromiso de Context.ai, una herramienta de IA de terceros utilizada por un empleado de Vercel, que permitió a los atacantes apoderarse de la cuenta de Google Workspace del empleado y obtener acceso a algunos entornos de Vercel y variables de entorno no sensibles.
La revelación destaca las crecientes preocupaciones sobre los riesgos de seguridad que plantean las integraciones de terceros y las herramientas impulsadas por IA, ya que los atacantes explotan cada vez más las vulnerabilidades de la cadena de suministro para ganar posiciones dentro de las organizaciones.
Vercel y las criptomonedas
Natalie Newson, investigadora senior de seguridad blockchain de CertiK, dijo a Decrypt que el evento ha generado urgencia entre los desarrolladores de cripto específicamente. "Debido a que muchos frontends de cripto utilizan Vercel para alojar su interfaz de usuario, una brecha puede permitir a los atacantes implantar un drenador de billeteras. Los usuarios que interactúan con una página de confianza no esperarán que ocurra nada malicioso", dijo, añadiendo que, "Las explotaciones en el espacio cripto pueden llevar a pérdidas financieras sustanciales".
Incluso si los contratos inteligentes permanecen seguros, los compromisos del front end aún representan riesgos. "Los compromisos del front end pueden ser particularmente dañinos para los usuarios finales", señaló, haciendo referencia al incidente de CoW Swap en abril en el que un usuario vio $316k drenados de su billetera.
Dijo que la creciente tendencia de la IA agéntica ha llevado a muchos usuarios a publicar las últimas aplicaciones y extensiones para mejorar la productividad y los actores maliciosos están aprovechando esta tendencia. "Las empresas deben ser muy cautelosas al utilizar nuevas aplicaciones y extensiones de IA mientras revisan los modelos de seguridad internos para asegurar que si ocurre una brecha, el impacto permanezca lo más limitado posible", dijo.
Rauch dijo que el ataque se desarrolló a través de "una serie de maniobras" comenzando con la cuenta del empleado comprometida y escalando hacia un acceso más amplio a los entornos internos. Aunque Vercel almacena las variables de entorno de los clientes encriptadas en reposo, la empresa permite que algunas variables se marquen como no sensibles, a las cuales los atacantes pudieron acceder.
La empresa cree que el número de clientes afectados es limitado y dijo que ha contactado como prioridad a aquellos potencialmente impactados. Vercel ha desplegado desde entonces medidas adicionales de monitoreo y protección, mientras también revisa su cadena de suministro para asegurar la seguridad de proyectos como Next.js y Turbopack.
John Woods, CEO de Nillion, dijo a Decrypt que "subconjunto limitado" generalmente significa que el conjunto de clientes afectados observados parece limitado hasta ahora, pero no necesariamente descarta movimiento interno más amplio o riesgo downstream más amplio. "En plataformas en la nube modernas, el radio de explosión no se trata solo de cuántos clientes fueron visiblemente impactados al principio, sino también de qué pudieron alcanzar los sistemas comprometidos detrás de escena", dijo Woods.
Recomendó a las empresas seguir una variedad de mejores prácticas para evitar este tipo de situación. "Bloquear las concesiones de OAuth, usar privilegio mínimo, aplicar controles estrictos en torno a las variables de entorno sensibles, separar la implementación del frontend de la autoridad secreta o de firma, y monitorear de cerca las implementaciones y los registros", dijo.
"Para cualquiera cuyas credenciales puedan haber sido tomadas, la prioridad inmediata es revocar el acceso, rotar las credenciales y revisar cada sistema al que esas credenciales pudieran acceder", añadió, señalando que, "A un nivel superior, la lección es evitar arquitecturas donde un compromiso pueda alcanzar demasiado".
Aún no está claro quién está detrás del ataque. Han surgido capturas de pantalla de un usuario con el nombre del grupo de hackers "ShinyHunters" afirmando en un foro haber violado Vercel y estar vendiendo acceso a datos de la empresa, incluido código fuente, claves API y sistemas internos.
El actor, que también puede estar suplantando a ShinyHunters, también afirmó haber discutido una demanda de rescate de $2 millones con la empresa. Vercel no respondió de inmediato a una solicitud para confirmar esas afirmaciones.
Boletín informativo Daily Debrief
Comienza cada día con las principales noticias del momento, además de características originales, un podcast, videos y más.
Fuente: https://decrypt.co/364869/highly-sophisticated-ai-powered-hackers-behind-vercel-breach-ceo
