L'dent di sicurezza che ha colpito la piattaforma di sviluppo cloud Vercel ha destato allarme nel settore delle criptovalute, in seguito alla rivelazione da parte dell'azienda che alcuni hacker hanno compromesso parti dei suoi sistemi interni tramite uno strumento di intelligenza artificiale di terze parti.
Poiché molti progetti di criptovalute si affidano a Vercel per ospitare le proprie interfacce utente, la violazione evidenzia quanto dent da infrastrutture cloud centralizzate. Questa dipendenza crea una superficie di attacco spesso trascurata, in grado di eludere le difese tradizionali come il monitoraggio DNS e compromettere direttamente l'integrità del frontend.
Domenica Vercel ha dichiarato che l'intrusione ha avuto origine da uno strumento di intelligenza artificiale di terze parti collegato a un'app OAuth di Google Workspace. Tale strumento era già stato violato in undent più ampio che ha interessato centinaia di utenti di diverse organizzazioni, ha affermato l'azienda. Vercel ha confermato che solo un numero limitato di clienti è stato colpito e che i suoi servizi sono rimasti operativi.
L'azienda ha incaricato società esterne di gestire glident e ha allertato le forze dell'ordine, indagando al contempo su come i dati possano essere stati consultati.
Per l'account erano elencate le chiavi di accesso, il codice sorgente, i record del database e ledentdi distribuzione (token NPM e GitHub). Tuttavia, queste non sono affermazioni stabilite in mododent.
A riprova di ciò, uno di questi esempi includeva circa 580 record di dipendenti con nomi, indirizzi email aziendali, stato dell'account e timestamp delle attività, insieme a uno screenshot di una dashboard interna.
L'attribuzione della responsabilità rimane incerta. Secondo quanto riportato, alcuni individui legati al gruppo principale di ShinyHunters hanno negato qualsiasi coinvolgimento. Il venditore ha anche affermato di aver contattato Vercel, chiedendo un riscatto, sebbene l'azienda non abbia rivelato se siano state avviate delle trattative.
Anziché attaccare direttamente Vercel, gli aggressori hanno sfruttato l'accesso OAuth collegato a Google Workspace . Una debolezza della catena di fornitura di questo tipo è più difficile da identificare dent poiché si basa su integrazioni affidabili piuttosto che su vulnerabilità evidenti.
Theo Browne, uno sviluppatore noto nella comunità del software, ha affermato che le persone consultate hanno indicato che le integrazioni interne di Vercel con Linear e GitHub hanno subito la maggior parte dei problemi.
Ha osservato che le variabili ambientali contrassegnate come sensibili in Vercel sono protette; altre variabili che non sono state segnalate devono essere ruotate per evitare la stessa sorte.
Vercel ha dato seguito a questa direttiva, esortando i clienti a rivedere le proprie variabili d'ambiente e a utilizzare la funzionalità per le variabili sensibili della piattaforma. Questo tipo di compromesso è particolarmente preoccupante perché le variabili d'ambiente spesso contengono informazioni riservate come chiavi API, endpoint RPC privati edentdi distribuzione.
Se questi valori venissero compromessi, gli aggressori potrebbero essere in grado di alterare le build, iniettare codice dannoso o ottenere l'accesso ai servizi connessi per uno sfruttamento più ampio.
A differenza delle tipiche violazioni che prendono di mira i record DNS o i registrar di dominio, la compromissione a livello di hosting avviene a livello della pipeline di build. Ciò consente agli aggressori di compromettere l'interfaccia utente effettiva fornita agli utenti, anziché limitarsi a reindirizzare i visitatori.
Alcuni progetti memorizzano dati di configurazione sensibili nelle variabili d'ambiente, inclusi i servizi relativi ai portafogli digitali, i provider di analisi e gli endpoint dell'infrastruttura. Se a questi valori si accede in modo improprio, i team potrebbero dover presumere che siano stati compromessi e procedere alla loro rotazione.
Gli attacchi frontend rappresentano da tempo una sfida ricorrente nel settore delle criptovalute. Recentidentdi dirottamento di domini hanno portato gli utenti a essere reindirizzati verso cloni dannosi progettati per svuotare i portafogli. Tuttavia, questi attacchi si verificano solitamente a livello DNS o di registrar. Tali modifiche possono spesso essere rilevate rapidamente con strumenti di monitoraggio.
Una violazione a livello di hosting è diversa. Invece di indirizzare gli utenti verso un sito fasullo, gli aggressori modificano l'interfaccia utente. Gli utenti potrebbero imbattersi in un dominio legittimo che diffonde codice dannoso, senza però rendersi conto di cosa stia succedendo.
Le indagini proseguono mentre i progetti di criptovalute esaminano la propria esposizione al rischio
Non è chiaro quanto si sia estesa la violazione, né se siano state apportate modifiche alle implementazioni dei clienti. Vercel ha dichiarato che le indagini sono in corso e che aggiornerà le parti interessate non appena saranno disponibili ulteriori informazioni. Ha inoltre affermato che i clienti interessati vengono contattati direttamente.
Al momento della pubblicazione, nessun importante progetto di criptovalute ha confermato pubblicamente di aver ricevuto una notifica da Vercel. Tuttavia, si prevede che l'dent spingerà i team a verificare le proprie infrastrutture, a ruotare ledente a esaminare le modalità di gestione dei dati sensibili.
La lezione più importante è che la sicurezza nelle interfacce crittografiche non si limita alla protezione DNS o agli audit intelligenti deitrac. Le dipendenze da piattaforme cloud, pipeline CI/CD e integrazioni con l'intelligenza artificiale aumentano ulteriormente il rischio.
Quando uno di questi servizi affidabili viene compromesso, gli aggressori potrebbero sfruttare un canale che aggira le difese tradizionali e colpisce direttamente gli utenti.
L'attacco hacker a Vercel, legato a uno strumento di intelligenza artificiale compromesso, illustra come le vulnerabilità della catena di fornitura negli stack di sviluppo moderni possano avere effetti a cascata sull'intero ecosistema delle criptovalute.
