CEO Xác Nhận: Tin Tặc 'Cực Kỳ Tinh Vi,' Sử Dụng AI Đứng Sau Vụ Tấn Công Vercel

CEO của Vercel cho biết một nhóm tin tặc "cực kỳ tinh vi", có khả năng được hỗ trợ bởi AI, đã đứng sau sự cố bảo mật gần đây làm lộ một số thông tin xác thực của khách hàng sau khi vi phạm các hệ thống nội bộ.

"Chúng tôi tin rằng nhóm tấn công cực kỳ tinh vi và tôi rất nghi ngờ rằng họ được đẩy nhanh đáng kể bởi AI," CEO Guillermo Rauch tweet, thêm rằng những kẻ tấn công "di chuyển với tốc độ đáng ngạc nhiên và hiểu biết sâu sắc về Vercel."

Công ty, một nền tảng điện toán đám mây dành cho các nhà phát triển, cho biết hôm Chủ nhật họ đã xác định được truy cập trái phép vào một số hệ thống nội bộ và đang tích cực điều tra. Sự cố ảnh hưởng đến một nhóm khách hàng giới hạn có thông tin xác thực bị xâm phạm, khiến công ty khuyến cáo luân chuyển thông tin xác thực ngay lập tức.

Vi phạm bắt nguồn từ việc xâm phạm Context.ai, một công cụ AI của bên thứ ba được nhân viên Vercel sử dụng, cho phép kẻ tấn công chiếm quyền kiểm soát tài khoản Google Workspace của nhân viên và truy cập vào một số môi trường Vercel và các biến môi trường không nhạy cảm.

Việc tiết lộ này làm nổi bật mối lo ngại ngày càng tăng về các rủi ro bảo mật do tích hợp bên thứ ba và công cụ hỗ trợ AI gây ra, khi kẻ tấn công ngày càng khai thác các lỗ hổng chuỗi cung ứng để có chỗ đứng bên trong các tổ chức.

Vercel và crypto

Natalie Newson, nhà nghiên cứu bảo mật blockchain cấp cao của CertiK, nói với Decrypt rằng sự kiện này đã gây ra tính cấp bách đối với các nhà phát triển crypto nói riêng. "Bởi vì nhiều giao diện crypto sử dụng Vercel để lưu trữ UI của họ, một vi phạm có thể cho phép kẻ tấn công cấy một công cụ rút cạn ví. Người dùng tương tác với một trang đáng tin cậy sẽ không mong đợi bất cứ điều gì độc hại xảy ra," cô nói, thêm rằng, "Các khai thác trong không gian crypto có thể dẫn đến tổn thất tài chính đáng kể."

Ngay cả khi hợp đồng thông minh vẫn an toàn, các vi phạm giao diện người dùng vẫn gây ra rủi ro. "Các vi phạm giao diện người dùng có thể đặc biệt gây thiệt hại cho người dùng cuối," cô lưu ý, chỉ ra sự cố CoW Swap vào tháng 4 trong đó một người dùng đã bị rút cạn $316k từ ví của họ.

Cô cho biết xu hướng gia tăng của AI tác nhân đã khiến nhiều người dùng đăng các ứng dụng và tiện ích mở rộng mới nhất để cải thiện năng suất và các tác nhân độc hại đang tận dụng xu hướng này. "Các công ty nên thận trọng hơn khi sử dụng các ứng dụng và tiện ích mở rộng AI mới trong khi xem xét các mô hình bảo mật nội bộ để đảm bảo rằng nếu vi phạm xảy ra, tác động vẫn được giới hạn nhất có thể," cô nói.

Rauch cho biết cuộc tấn công diễn ra thông qua "một loạt các thao tác" bắt đầu từ tài khoản nhân viên bị xâm phạm và leo thang thành quyền truy cập rộng hơn vào các môi trường nội bộ. Trong khi Vercel lưu trữ các biến môi trường của khách hàng được mã hóa khi không hoạt động, công ty cho phép một số biến được đánh dấu là không nhạy cảm, mà kẻ tấn công có thể truy cập.

Công ty tin rằng số lượng khách hàng bị ảnh hưởng là giới hạn và cho biết họ đã liên hệ với những người có khả năng bị ảnh hưởng như một ưu tiên. Vercel đã triển khai các biện pháp giám sát và bảo vệ bổ sung, đồng thời cũng xem xét chuỗi cung ứng của mình để đảm bảo an toàn cho các dự án như Next.js và Turbopack.

John Woods, CEO của Nillion, nói với Decrypt rằng "nhóm giới hạn" thường có nghĩa là tập hợp khách hàng bị ảnh hưởng quan sát được có vẻ giới hạn cho đến nay, nhưng nó không nhất thiết loại trừ chuyển động nội bộ rộng hơn hoặc rủi ro hạ nguồn rộng hơn. "Trong các nền tảng điện toán đám mây hiện đại, bán kính vụ nổ không chỉ là về số lượng khách hàng bị ảnh hưởng rõ ràng lúc đầu, mà còn về những gì các hệ thống bị xâm phạm có thể tiếp cận đằng sau hậu trường," Woods nói.

Ông khuyến nghị các công ty tuân theo nhiều phương pháp hay nhất để tránh loại tình huống này. "Khóa các cấp phép OAuth, sử dụng đặc quyền tối thiểu, thực thi kiểm soát nghiêm ngặt xung quanh các biến môi trường nhạy cảm, tách triển khai giao diện người dùng khỏi quyền bí mật hoặc ký, và giám sát các triển khai và nhật ký chặt chẽ," ông nói.

"Đối với bất kỳ ai có thông tin xác thực có thể đã bị lấy, ưu tiên ngay lập tức là thu hồi quyền truy cập, luân chuyển thông tin xác thực và xem xét mọi hệ thống mà thông tin xác thực đó có thể tiếp cận," ông thêm, lưu ý rằng, "Ở cấp độ cao hơn, bài học là tránh các kiến trúc nơi một vi phạm có thể tiếp cận quá nhiều."

Vẫn chưa rõ ai đứng sau cuộc tấn công. Ảnh chụp màn hình đã xuất hiện của một người dùng với tên của nhóm tin tặc "ShinyHunters" tuyên bố trên một diễn đàn đã vi phạm Vercel và đang bán quyền truy cập vào dữ liệu công ty, bao gồm mã nguồn, API keys và các hệ thống nội bộ.

Tác nhân, người cũng có thể đang mạo danh ShinyHunters, cũng tuyên bố đã thảo luận về yêu cầu tiền chuộc $2 triệu với công ty. Vercel không phản hồi ngay lập tức yêu cầu xác nhận những tuyên bố đó.