Derdent bei der Cloud-Entwicklungsplattform Vercel hat in der Kryptoindustrie Besorgnis ausgelöst, nachdem das Unternehmen bekannt gegeben hatte, dass Angreifer Teile seiner internen Systeme mithilfe eines KI-Tools eines Drittanbieters kompromittiert hatten.
Da viele Kryptoprojekte auf Vercel für das Hosting ihrer Benutzeroberflächen angewiesen sind, verdeutlicht der Vorfall , wie abhängig dent -Teams von zentralisierter Cloud-Infrastruktur sind. Diese Abhängigkeit schafft eine oft übersehene Angriffsfläche, die herkömmliche Schutzmechanismen wie DNS-Überwachung umgehen und die Integrität des Frontends direkt gefährden kann.
Vercel gab am Sonntag bekannt, dass der Angriff von einem KI-Tool eines Drittanbieters ausging, das mit einer Google Workspace OAuth-App verknüpft war. Dieses Tool war bereits im Rahmen eines größerendent kompromittiert worden, von dem Hunderte von Nutzern aus verschiedenen Organisationen betroffen waren, so das Unternehmen. Vercel bestätigte, dass nur ein begrenzter Teil der Kunden betroffen war und die Dienste weiterhin funktionierten.
Das Unternehmen hat externedent eingeschaltet und die Polizei alarmiert. Gleichzeitig wird untersucht, wie auf die Daten zugegriffen werden konnte.
Für das Konto wurden Zugriffsschlüssel, Quellcode, Datenbankeinträge unddent(NPM- und GitHub-Tokens) aufgelistet. Es handelt sich dabei jedoch nichtdentvoneinander ermittelte Angaben.
Als Beweis enthielt eines dieser Beispielobjekte etwa 580 Mitarbeiterdatensätze mit Namen, geschäftlichen E-Mail-Adressen, Kontostatus und Aktivitätszeitstempeln sowie einen Screenshot eines internen Dashboards.
Die Urheberschaft ist weiterhin unklar. Personen aus dem Umfeld der ShinyHunters-Gruppe wiesen laut Berichten jegliche Beteiligung zurück. Der Verkäufer gab zudem an, Vercel kontaktiert und Lösegeld gefordert zu haben; ob Verhandlungen stattfanden, hat das Unternehmen jedoch nicht offengelegt.
Anstatt Vercel direkt anzugreifen, nutzten die Angreifer den mit Google Workspace . Eine solche Schwachstelle in der Lieferkette ist schwieriger zu identifizieren dent da sie auf vertrauenswürdigen Integrationen und nicht auf offensichtlichen Sicherheitslücken beruht.
Theo Browne, ein in der Software-Community bekannter Entwickler, sagte, die Befragten hätten angegeben, dass die internen Linear- und GitHub-Integrationen von Vercel die Hauptlast der Probleme trügen.
Er stellte fest, dass in Vercel als sensibel gekennzeichnete Umgebungsvariablen geschützt sind; andere, nicht gekennzeichnete Variablen müssen ausgetauscht werden, um nicht dasselbe Schicksal zu erleiden.
Vercel griff diese Anweisung auf und forderte Kunden dringend auf, ihre Umgebungsvariablen zu überprüfen und die Funktion für sensible Variablen der Plattform zu nutzen. Solche Sicherheitslücken sind besonders besorgniserregend, da Umgebungsvariablen häufig sensible Daten wie API-Schlüssel, private RPC-Endpunkte unddententhalten.
Wenn diese Werte kompromittiert würden, könnten Angreifer möglicherweise Builds verändern, bösartigen Code einschleusen oder Zugriff auf verbundene Dienste erlangen, um diese umfassender auszunutzen.
Anders als bei typischen Sicherheitslücken, die auf DNS-Einträge oder Domain-Registrare abzielen, erfolgt die Kompromittierung auf Hosting-Ebene auf der Ebene der Build-Pipeline. Dadurch können Angreifer das eigentliche Frontend, das den Nutzern ausgeliefert wird, kompromittieren, anstatt Besucher lediglich umzuleiten.
Bestimmte Projekte speichern sensible Konfigurationsdaten in Umgebungsvariablen, darunter Daten von Wallet-Diensten, Analysediensten und Infrastrukturendpunkten. Wurden diese Werte abgerufen, müssen die Teams davon ausgehen, dass sie kompromittiert wurden, und sie gegebenenfalls austauschen.
Frontend-Angriffe stellen im Kryptobereich bereits eine wiederkehrende Herausforderung dar. Jüngstedentvon Domain-Hijacking führten dazu, dass Nutzer auf schädliche Klone umgeleitet wurden, die darauf abzielten, Wallets zu plündern. Diese Angriffe erfolgen jedoch üblicherweise auf DNS- oder Registrar-Ebene. Solche Änderungen lassen sich oft schnell mit Überwachungstools erkennen.
Eine Kompromittierung auf der Hosting-Ebene verläuft anders. Anstatt Nutzer auf eine gefälschte Website umzuleiten, verändern Angreifer das eigentliche Frontend. Nutzer stoßen möglicherweise auf eine legitime Domain, die Schadcode ausliefert, bemerken aber nichts davon.
Die Untersuchung wird fortgesetzt, während Kryptoprojekte ihre Risiken überprüfen
Wie weit der Sicherheitsverstoß reichte und ob Kundeninstallationen verändert wurden, ist unklar. Vercel teilte mit, die Untersuchung dauere an und man werde die Beteiligten informieren, sobald weitere Informationen vorliegen. Betroffene Kunden würden direkt kontaktiert.
Bis zum Zeitpunkt der Veröffentlichung hat kein größeres Kryptoprojekt öffentlich bestätigt, eine Benachrichtigung von Vercel erhalten zu haben. Es wird jedoch erwartet, dass derdent die Teams veranlassen wird, ihre Infrastruktur zu überprüfen,dentregelmäßig zu aktualisieren und ihre Vorgehensweise im Umgang mit Geheimnissen zu überdenken.
Die wichtigste Erkenntnis ist, dass die Sicherheit von Krypto-Frontends nicht mit DNS-Schutz oder Smart-trac-Audits endet. Abhängigkeiten von Cloud-Plattformen, CI/CD-Pipelines und KI-Integrationen erhöhen das Risiko zusätzlich.
Wenn einer dieser vertrauenswürdigen Dienste kompromittiert wird, könnten Angreifer einen Kanal ausnutzen, der herkömmliche Abwehrmechanismen umgeht und die Benutzer direkt beeinträchtigt.
Der Vercel-Hack, der mit einem kompromittierten KI-Tool zusammenhängt, verdeutlicht, wie Schwachstellen in der Lieferkette moderner Entwicklungsumgebungen kaskadenartige Auswirkungen im gesamten Krypto-Ökosystem haben können.
