Vercel首席执行官认为,近期公司遭受的网络入侵背后可能有AI的助力,攻击者以"惊人的速度"行动,并对公司基础设施有着深入了解。
事件经过
在事件公开通报中,CEO Guillermo Rauch表示,此次入侵的起点是一个与Context.ai关联的员工账户遭到泄露。攻击者利用该访问权限劫持了该员工的Vercel谷歌工作区账户,进而深入公司系统。随后,黑客开始探测环境变量,包括未被标记为敏感的变量,并以此为跳板进一步渗透。
Rauch表示,攻击者可能并非单独行动。"我们认为这个攻击团伙技术高超,而且我强烈怀疑他们在AI的大力加持下行动速度大幅提升,"Rauch说道,"他们行动神速,对Vercel的系统了如指掌。"
尽管Rauch并未就AI辅助攻击的说法提供详细依据,但他强调攻击者行动果断,进入系统后迅速锁定目标并持续推进,整个过程没有复杂的漏洞利用链,仅凭OAuth滥用和过度信任便得手。
攻击溯源
安全研究机构Hudson Rock将此次事件的起点追溯至今年2月的一次信息窃取程序感染。Lumma Stealer恶意软件从员工设备上窃取了企业凭证,而该设备此前还被用于下载Roblox"自动刷分"脚本和漏洞利用工具,这正是此类感染的惯用入侵路径。
环境变量保护机制存在隐患
Vercel表示,客户环境变量在存储时已进行加密,但该平台允许部分变量被标记为"非敏感"。正是这一区分在攻击者进入系统后暴露了隐患,这些未受同等保护级别的变量更容易被逐一筛查利用。
影响范围与应对措施
目前,Vercel认为受影响客户数量"相当有限",并已主动联系相关风险用户。公司同时建议用户轮换凭证、密切关注访问日志,并重新审视已标记为敏感的内容。Rauch表示,Vercel正与外部事件响应团队、行业同行及执法机构合作,谷歌旗下Mandiant也参与其中提供支持。
数据疑似流入黑市
在公司层面之外,此事件已引发更广泛的关注。OX Security研究人员称,据称从本次入侵中窃取的数据正在BreachForums上以200万美元的价格出售,内容包括API密钥、部署凭证、GitHub和npm Token,以及被描述为内部数据库记录的信息,相关列表据报还包含数百名Vercel员工的详细信息。
该帖子冠以"ShinyHunters"之名,但该组织否认参与其中,幕后黑手究竟是谁目前仍是未解之谜。
供应链安全获证实
针对外界担忧,Vercel今日发布声明,确认Vercel发布的npm包均未遭到破坏。"没有任何篡改证据,我们相信供应链依然安全,"声明补充道。
目前,Vercel正处于清理阶段,并持续要求客户轮换凭证。如果攻击者确实借助了AI的力量,那么他们所需要的不过是一个可用的访问入口而已。
Q&A
Q1:Vercel是如何被黑客入侵的?
A:此次入侵从一名与Context.ai关联的Vercel员工账户被盗开始,黑客利用该账户劫持了员工的谷歌工作区账户,进而进入Vercel系统。攻击者随后探测环境变量,通过未被标记为敏感的变量进一步渗透,整个攻击过程主要依赖OAuth滥用,并未使用复杂的漏洞利用链。安全机构Hudson Rock认为,攻击起点可追溯至今年2月一次Lumma Stealer信息窃取程序对员工设备的感染。
Q2:Vercel入侵事件中AI是如何发挥作用的?
A:Vercel CEO Guillermo Rauch在公开声明中表示,攻击者行动速度极快,对公司基础设施了解深入,他强烈怀疑攻击团伙借助了AI技术显著提升了行动效率。但他并未披露具体细节,仅指出攻击者进入系统后迅速找到所需内容并持续推进,没有拖延,这种高效的节奏与AI辅助的攻击模式高度吻合。
Q3:Vercel的客户数据在此次事件中是否安全?
A:Vercel表示,受影响客户数量"相当有限",并已联系相关风险用户。公司确认其发布的npm包均未遭到篡改,供应链安全。但与此同时,安全研究机构OX Security发现,疑似被盗数据已在黑客论坛BreachForums上以200万美元出售,内容涵盖API密钥、部署凭证等敏感信息,建议所有用户立即轮换凭证并审查访问日志。
热门跟贴