الرئيس التنفيذي لشركة Vercel: نطاق الهجوم يتجاوز Context.ai، وقد تم إخطار ضحايا محتملين آخرين

نشر الرئيس التنفيذي لشركة Vercel Guillermo Rauch في 22 أبريل بتوقيت المحيط الهادئ الأمريكي على X تحديثًا حول التقدم في التحقيق الأمني، ذكر فيه أن فريق التحقيق قد تعامل مع ما يقارب 1 PB من سجلات Vercel على مستوى الشبكة وواجهات API، وأن نطاق التحقيق يتجاوز بكثير حادثة اختراق Context.ai. وذكر Rauch أن المهاجمين سرقوا مفاتيح حسابات Vercel عن طريق نشر برمجيات خبيثة على أجهزة الكمبيوتر، وقد تم إخطار الضحايا.

متجه الهجوم وأنماط السلوك: تفاصيل التحقيق

وفقًا لصفحة التحقيق الأمني في Vercel ولمنشور Guillermo Rauch العلني على X، نشأ هذا الحادث عن اختراق تطبيق Google Workspace OAuth الخاص بأداة ذكاء اصطناعي تابعة لجهة خارجية تُستخدم من قبل موظف في Vercel تُدعى Context.ai. استغل المهاجمون صلاحيات الوصول عبر هذه الأداة للحصول تدريجيًا على حساب Google Workspace الخاص بكل موظف في Vercel وحساب Vercel، ثم بعد دخولهم بيئة Vercel قاموا بشكل منهجي بتعداد المتغيرات البيئية غير الحساسة وفك تشفيرها.

وأشار Rauch في منشوره على X إلى أن السجلات تُظهر أنه بعد حصول المهاجمين على المفاتيح، فإنهم يقومون فورًا بإجراء استدعاءات API سريعة وشاملة، مع التركيز على تعداد المتغيرات البيئية غير الحساسة، مما يكوّن نمط سلوك يمكن تكراره. وتقيّم Vercel أن المهاجمين لديهم معرفة عميقة بواجهات برمجة تطبيقات منتجات Vercel، ومستوى تقني مرتفع جدًا.

اكتشافات جديدة بعد توسيع التحقيق والتعاون في القطاع

وفقًا لتحديث الأمان الصادر في 22 أبريل من Vercel، بعد توسيع التحقيق تم تأكيد اكتشافين جديدين:

· تم رصد اختراق عدد قليل من الحسابات الأخرى في هذه الحادثة، وقد تم إخطار العملاء المتأثرين

· تم رصد سجلات اختراق سابقة لعدد قليل من حسابات العملاء غير مرتبطة بهذه الحادثة، ويُرجّح أن يكون مصدرها الهندسة الاجتماعية أو البرمجيات الخبيثة أو طرق أخرى؛ وقد تم إخطار العملاء المعنيين

قامت Vercel بتعميق التعاون مع شركاء في القطاع مثل Microsoft وAWS وWiz، وتعمل كذلك بالتعاون مع Google Mandiant وأجهزة إنفاذ القانون في التحقيق.

وبحسب تحديث الأمان الصادر في 20 أبريل من Vercel، أكدت فرق الأمان في Vercel بالتعاون مع GitHub وMicrosoft وnpm وSocket أن جميع حزم npm التي تنشرها Vercel لم تتأثر، ولا توجد أدلة على العبث، وأن تقييم أمن سلسلة التوريد يعمل بشكل طبيعي. كما أفصحت Vercel عن مؤشرات الاختراق (IOC) للتحقق من المجتمع، بما في ذلك معرف تطبيق OAuth ذي الصلة: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com؛ وتنصح Vercel مسؤولي Google Workspace بالتحقق مما إذا كانوا يستخدمون التطبيق المذكور أعلاه.

الأسئلة الشائعة

ما هو متجه الهجوم الأساسي لحادث الأمان هذا في Vercel؟

وفقًا لصفحة التحقيق الأمني في Vercel، نشأ الحادث عن اختراق تطبيق Google Workspace OAuth الخاص بأداة ذكاء اصطناعي تابعة لجهة خارجية تُستخدم من قبل موظف في Vercel تُدعى Context.ai. واستغل المهاجمون صلاحيات الوصول عبر هذه الأداة للحصول تدريجيًا على حسابات Vercel للموظف، ثم دخلوا بيئة Vercel حيث قاموا بتعداد المتغيرات البيئية غير الحساسة وفك تشفيرها.

هل نطاق الهجوم الذي أكده الرئيس التنفيذي لـ Vercel قد تجاوز حادثة Context.ai الأولية؟

وفقًا لبيان Guillermo Rauch العلني على X في 22 أبريل بتوقيت المحيط الهادئ في الولايات المتحدة، تشير معلومات التهديد إلى أن نشاط المهاجمين قد تجاوز نطاق اختراق واحد لحادثة Context.ai، من خلال سرقة مفاتيح وصول لمقدمي خدمات متعددين في شبكة أوسع عبر برمجيات خبيثة، وقد تم إخطار ضحايا مشتبهين آخرين باستبدال/تدوير بيانات الاعتماد (الشهادات).

هل الحزم npm التي تنشرها Vercel متأثرة بحادث الأمان هذا؟

وفقًا لتحديث الأمان الصادر في 20 أبريل من Vercel، أكدت فرق الأمان في Vercel بالتعاون مع GitHub وMicrosoft وnpm وSocket أن جميع حزم npm التي تنشرها Vercel لم تتأثر، ولا توجد أدلة على العبث، وأن تقييم أمن سلسلة التوريد طبيعي.