Der CEO von Vercel, Guillermo Rauch, veröffentlichte am 22. April auf X einen Sicherheits-Update-Statusbericht; der Beitrag erfolgte nach Pazifikzeit in den USA. Er sagte, dass das Untersuchungsteam bereits fast 1 PB der Vercel-gesamten Web- und API-Protokolle verarbeitet habe und dass der Untersuchungsumfang den Einbruchsvorfall bei Context.ai deutlich übertreffe. Rauch sagte, die Angreifer hätten über das Verbreiten von Schadsoftware auf den Computern Zugang zu den Vercel-Konten-API-Schlüsseln erlangt und die Opfer benachrichtigt.
Angriffsvektoren und Verhaltensmuster: Details zur Untersuchung
Laut der Vercel-Seite zur Sicherheitsuntersuchung und dem öffentlichen X-Post von Guillermo Rauch geht der Vorfall auf eine Kompromittierung der Google-Workspace-OAuth-Anwendung eines Drittanbieter-KI-Tools namens Context.ai zurück, das von einem Vercel-Mitarbeiter verwendet wurde. Die Angreifer erlangten über dieses Tool Zugriffsrechte und erhielten schrittweise das persönliche Vercel-Google-Workspace-Konto des Mitarbeiters sowie das Vercel-Konto. Nachdem sie in die Vercel-Umgebung gelangt waren, führten sie systematisches Auflisten und Entschlüsseln nicht sensibler Umgebungsvariablen durch.
In seinem X-Post wies Rauch darauf hin, dass die Protokolle zeigen, dass die Angreifer nach dem Erhalt der Schlüssel unmittelbar schnelle, umfassende API-Aufrufe tätigten. Dabei lag der Schwerpunkt auf der Enumerierung nicht sensibler Umgebungsvariablen, wodurch sich ein wiedererkennbares Verhaltensmuster ergab. Vercel bewertet, dass die Angreifer über fundierte Kenntnisse der API-Schnittstellen des Vercel-Produkts verfügten und das technische Niveau sehr hoch sei.
Neue Erkenntnisse nach Ausweitung der Untersuchung und Zusammenarbeit in der Branche
Laut dem Sicherheits-Update von Vercel vom 22. April wurden nach der Ausweitung der Untersuchung zwei neue Erkenntnisse bestätigt:
· Erkenntnis, dass in diesem Vorfall eine geringe Anzahl weiterer Konten kompromittiert wurde; betroffene Kunden wurden benachrichtigt
· Erkenntnis, dass bei einer geringen Anzahl von Kundenkonten frühere Einbruchsvorgänge vorliegen, die nicht im Zusammenhang mit diesem Vorfall stehen; es wird vermutet, dass diese auf Social Engineering, Schadsoftware oder andere Methoden zurückzuführen sind; die betreffenden Kunden wurden benachrichtigt
Vercel hat die Zusammenarbeit mit Branchenpartnern wie Microsoft, AWS und Wiz vertieft und arbeitet außerdem gemeinsam mit Google Mandiant sowie Strafverfolgungsbehörden bei der Untersuchung.
Laut dem Sicherheits-Update von Vercel vom 20. April bestätigten das Vercel-Sicherheitsteam und die Partner GitHub, Microsoft, npm und Socket gemeinsam, dass alle von Vercel veröffentlichten npm-Pakete nicht betroffen waren, es keine Hinweise auf Manipulation gab und die Lieferketten-Sicherheitsbewertung wie vorgesehen ablief. Vercel hat außerdem Indikatoren für eine Kompromittierung (IOC) zur Überprüfung durch die Community offengelegt, darunter die zugehörigen OAuth-Anwendungs-IDs: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com; Vercel empfiehlt Google-Workspace-Administratoren zu prüfen, ob sie die oben genannten Anwendungen verwenden.
Häufige Fragen
Was ist der grundlegende Angriffsvektor für den Sicherheitsvorfall bei Vercel?
Laut der Vercel-Seite zur Sicherheitsuntersuchung geht der Vorfall auf eine Kompromittierung der Google-Workspace-OAuth-Anwendung eines Drittanbieter-KI-Tools namens Context.ai zurück, das von einem Vercel-Mitarbeiter verwendet wurde. Die Angreifer nutzten über dieses Tool Zugriffsrechte, um schrittweise das Vercel-Konto des Mitarbeiters zu erhalten, und gelangten dann in die Vercel-Umgebung, um nicht sensible Umgebungsvariablen aufzulisten und zu entschlüsseln.
Hat der von Vercel bestätigte Umfang des Angriffs den ursprünglichen Vorfall bei Context.ai überschritten?
Laut dem öffentlichen Post von Guillermo Rauch auf X vom 22. April (Pazifikzeit) zeigen Bedrohungsinformationen, dass die Aktivitäten der Angreifer den Einzel-Einbruchsumfang bei Context.ai überschritten haben. Durch Schadsoftware wurden in einem breiteren Netzwerk mehrere Diensteanbieter-Zugriffsschlüssel gestohlen; andere mutmaßliche Opfer wurden benachrichtigt, ihre Anmeldeinformationen zu wechseln.
Wurden die npm-Pakete, die von Vercel veröffentlicht wurden, von diesem Sicherheitsvorfall beeinflusst?
Laut dem Sicherheits-Update von Vercel vom 20. April bestätigten das Vercel-Sicherheitsteam und die Partner GitHub, Microsoft, npm und Socket gemeinsam, dass alle von Vercel veröffentlichten npm-Pakete nicht betroffen waren, es keine Hinweise auf Manipulation gab und die Lieferketten-Sicherheitsbewertung wie vorgesehen normal ablief.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
