Vercelは内部システムへの攻撃の影響が予想されていたより多くの顧客に及んでいることが判明したと述べました。継続的な分析により、侵害の追加的な証拠が明らかになりました。
開発者向けのツール提供とクラウドインフラストラクチャをホストしている同社は、「限定的な数の」アカウントが影響を受けたと述べていますが、この攻撃に関連する既知のインシデント数や範囲をまだ公表していません。Vercelは毎週900万回以上ダウンロードされているAIエージェント対応プラットフォームのNext.jsや、その他の人気のあるオープンソースプロジェクトを作成・維持管理しています。
Vercel CEOのギジェルモ・ラウチ氏は、同社とパートナーがVercelネットワークとAPI全体で約1ペタバイトのログを分析し、同社および顧客を対象とした悪意のあるアクティビティがContext.aiを起点とする初期攻撃を超えて拡大していることを発見したと述べました。
「脅威インテリジェンスによると、Vercelアカウントキーや他のプロバイダーのキーなどの価値あるトークンを探すために、マルウェアがコンピューターに配布されています」とラウチ氏はX上のポストで述べました。
「攻撃者がこれらのキーを取得すると、当社のログは繰り返されるパターンを示しています。迅速で包括的なAPI使用法であり、機密性の低い環境変数の列挙に焦点が当たっています」と彼は付け加えました。
この攻撃は、OAuthトークン、信頼関係、複数のサービスをリンクする過度に特権化されたパーミッションに依存する相互接続されたシステムがもたらす広範で複合的なリスクを示しています。
「本当の脆弱性は技術ではなく信頼でした」と、TPOグループのクリティカルデジタルインフラストラクチャ責任者であるムニッシュ・ウォルター・プーリ氏はCyberScoopに述べました。「OAuthは生産性アプリをバックドアに変えました。従業員が職務用アカウントに接続するすべてのAIツールは、現在潜在的な攻撃対象領域となります。」
攻撃者はVercelの内部システムを侵害し、顧客データを盗んで復号化しました。これには保存されていた環境変数が含まれており、重大な下流リスクをもたらしています。
同社は、侵害がContext.aiという従業員の1人が使用していたサードパーティAIツールで発生したと主張しています。Hudson Rockの研究者は以前、その攻撃の種子が2月に植えられたと述べました。Context.ai従業員のコンピューターは、Robloxゲーム悪用を検索した後にLumma Stealerマルウェアに感染しました。infostealerの一般的な配布ベクトルです。
Vercelは侵害されたシステムと顧客データを特定しておらず、脅威が根絶または遮断されたかについても説明していません。同社は発行するソフトウェアパッケージ全体での改ざんの証拠を発見していないと述べ、「サプライチェーンは安全なままだと考えています」と結論付けています。
同社は更新されたセキュリティ速報でさらなる謎を深め、同社システムの侵害とは無関係な攻撃で侵害された別の「限定的な数の顧客」も特定したことを記載しています。
「これらの侵害はVercelシステムで発生したと思われません」と同社は述べました。「このアクティビティは4月のインシデントの継続または拡大ではなく、以前のVercelセキュリティインシデントの証拠でもないようです。」
Vercelがこれらの攻撃をどのようにして認識したのか、またなぜ公開で開示しているのかは不明です。
Vercelは質問に回答することを拒否し、インシデント対応と攻撃の調査を実施しているMandiantは質問をVercelに差し戻しました。
Vercelは侵害を特定された脅威グループに帰属させておらず、攻撃者の目的も説明していません。
ShinyHuntersと名乗るオンラインペルソナが攻撃の責任を表明し、盗まれたデータ(アクセスキー、ソースコード、データベースが含まれていると主張)の販売を試みています。Google Threat Intelligence Groupのプリンシパルセキュリティアナリストであるオースティン・ラーセン氏は、攻撃者は「詐称している可能性が高い」と述べましたが、露出のリスクは現実的だと強調しました。
ウォルター・プーリ氏は、同社システムへの攻撃からの下流への影響は定義されていないと警告しました。「盗まれたAPIキーと内部ビューのソースコードスニペットは、顧客の本番環境のキーである可能性があります」と彼は述べました。
攻撃者が所有していると主張する盗まれたデータは「ほぼつまらなく聞こえますが、インフラストラクチャインテリジェンスです」とウォルター・プーリ氏は付け加えました。「適切な環境変数はシステムのロックを解除するだけでなく、敵対者が静かに内部からそのシステムになることを可能にします。」
翻訳元: https://cyberscoop.com/vercel-attack-fallout-expands/
