CEO da Vercel: o âmbito do ataque vai além do Context.ai, já foi notificado a outras potenciais vítimas

O CEO da Vercel, Guillermo Rauch, publicou no X a 22 de abril, no fuso horário do Pacífico dos EUA, um ponto de situação sobre uma investigação de segurança, afirmando que a equipa de investigação já processou quase 1 PB de registos de toda a rede e da API da Vercel, e que o âmbito da investigação é muito mais vasto do que o incidente de invasão da Context.ai. Rauch afirmou que os atacantes, ao espalhar malware pelos computadores, furtaram as chaves da conta da Vercel; já foram notizadas as vítimas.

Vetores de ataque e padrões de comportamento: detalhes da investigação

De acordo com a página da investigação de segurança da Vercel e com as publicações públicas de Guillermo Rauch no X, este incidente teve origem numa aplicação OAuth do Google Workspace de uma ferramenta de IA de terceiros, a Context.ai, utilizada por um funcionário da Vercel. Os atacantes, através do acesso obtido por essa ferramenta, foram progressivamente chegando às contas Google Workspace pessoais do funcionário e às contas da Vercel; depois, ao entrar no ambiente da Vercel, enumeraram sistematicamente e desencriptaram variáveis de ambiente não sensíveis.

Rauch indicou, nas suas publicações no X, que os registos mostram que, após obter as chaves, os atacantes realizam imediatamente chamadas de API rápidas e abrangentes, com foco na enumeração de variáveis de ambiente não sensíveis, formando um padrão de comportamento reconhecível de forma repetida. A Vercel avaliou que os atacantes tinham conhecimento profundo sobre a interface de APIs do produto Vercel, com um nível técnico muito elevado.

Novas conclusões após o alargamento da investigação e colaboração na indústria

De acordo com a atualização de segurança da Vercel de 22 de abril, após o alargamento da investigação foram confirmadas duas novas conclusões:

· Foi identificada a invasão de um pequeno número de outras contas neste incidente; os clientes afetados foram notificados

· Foi identificado que algumas contas de clientes têm registos de invasões anteriores não relacionados com este incidente; presume-se que tenham origem em engenharia social, malware ou outros meios; os clientes em causa foram notificados

A Vercel aprofundou a colaboração com parceiros do setor, incluindo a Microsoft, a AWS e a Wiz, e está a colaborar na investigação com a Google Mandiant e com as autoridades policiais.

De acordo com a atualização de segurança da Vercel de 20 de abril, a equipa de segurança da Vercel e a GitHub, a Microsoft, a npm e a Socket cooperaram para confirmar que todos os pacotes npm publicados pela Vercel não foram afetados, sem indícios de adulteração, e que a avaliação de segurança da cadeia de fornecimento está em conformidade. A Vercel também divulgou indicadores de comprometimento (IOC) para verificação pela comunidade, incluindo o ID da aplicação OAuth relevante: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com; a Vercel recomenda que os administradores do Google Workspace confirmem se utilizaram a aplicação acima referida.

Perguntas frequentes

Qual é o vetor de ataque fundamental deste incidente de segurança da Vercel?

De acordo com a página da investigação de segurança da Vercel, o incidente teve origem numa aplicação OAuth do Google Workspace de uma ferramenta de IA de terceiros, a Context.ai, utilizada por um funcionário da Vercel. Os atacantes, através do acesso obtido por essa ferramenta, obtiveram progressivamente a conta da Vercel do funcionário e, ao entrar no ambiente da Vercel, enumeraram e desencriptaram variáveis de ambiente não sensíveis.

O âmbito do ataque confirmado pelo CEO da Vercel já ultrapassou o incidente inicial da Context.ai?

De acordo com a publicação pública de Guillermo Rauch no X em 22 de abril, no fuso horário do Pacífico dos EUA, a informação sobre ameaças indica que as atividades do atacante ultrapassaram o âmbito único de intrusão da Context.ai; através de malware, foram furtadas chaves de acesso de vários prestadores de serviços numa rede mais ampla, e outros supostos afetados já foram notificados para alternar as credenciais.

Os pacotes npm publicados pela Vercel foram afetados por este incidente de segurança?

De acordo com a atualização de segurança da Vercel de 20 de abril, a equipa de segurança da Vercel, em colaboração com a GitHub, a Microsoft, a npm e a Socket, confirmou que todos os pacotes npm publicados pela Vercel não foram afetados, sem indícios de adulteração, e que a avaliação de segurança da cadeia de fornecimento é normal.