Cloud-Dev-Plattform-Sicherheitsverletzung im Zusammenhang mit kompromittiertem KI-Tool löst Alarm für Krypto-Frontends aus

Der Sicherheitsvorfall der Cloud-Entwicklungsplattform Vercel hat in der Kryptoindustrie Alarm ausgelöst, nachdem das Unternehmen offenlegte, dass Angreifer Teile seiner internen Systeme durch ein Drittanbieter-KI-Tool kompromittiert hatten.

Da viele Kryptoprojekte auf Vercel angewiesen sind, um ihre Benutzeroberflächen zu hosten, verdeutlicht die Sicherheitsverletzung, wie abhängig Web3-Teams von zentralisierter Cloud-Infrastruktur sind. Diese Abhängigkeit schafft eine oft übersehene Angriffsfläche – eine, die traditionelle Abwehrmaßnahmen wie DNS-Überwachung umgehen und die Frontend-Integrität direkt gefährden kann.

Vercel teilte am Sonntag mit, dass der Einbruch von einem Drittanbieter-KI-Tool ausging, das mit einer Google Workspace OAuth-App verbunden war. Dieses Tool sei bei einem größeren Vorfall kompromittiert worden, der Hunderte von Benutzern mehrerer Organisationen betraf, so das Unternehmen. Vercel bestätigte, dass eine begrenzte Anzahl von Kunden betroffen war, und seine Dienste blieben betriebsbereit.

Das Unternehmen hat externe Incident-Responder eingeschaltet und die Polizei alarmiert, während es gleichzeitig untersucht, wie auf die Daten zugegriffen worden sein könnte.

Zugriffsschlüssel, Quellcode, Datenbankeinträge und Deployment-Anmeldedaten (NPM- und GitHub-Token) wurden für das Konto aufgelistet. Diese sind jedoch keine unabhängig bestätigten Behauptungen.

Als Beweis enthielt eines dieser Musterelemente etwa 580 Mitarbeiterdatensätze mit Namen, Unternehmens-E-Mail-Adressen, Kontostatus und Aktivitätszeitstempeln sowie einen Screenshot eines internen Dashboards.

Die Zuschreibung bleibt unklar. Personen, die mit der Kerngruppe ShinyHunters in Verbindung stehen, bestritten laut Berichten eine Beteiligung. Der Verkäufer gab auch an, Vercel kontaktiert und Lösegeld gefordert zu haben, obwohl das Unternehmen nicht offengelegt hat, ob Verhandlungen geführt wurden.

Kompromittierung eines Drittanbieter-KI-Tools legt verborgenes Infrastrukturrisiko offen

Anstatt Vercel direkt anzugreifen, haben Angreifer OAuth-Zugriff genutzt, der mit Google Workspace verbunden ist. Eine Schwachstelle in der Lieferkette dieser Art ist schwieriger zu identifizieren, da sie auf vertrauenswürdigen Integrationen statt auf offensichtlichen Schwachstellen beruht.

Theo Browne, ein in der Software-Community bekannter Entwickler, sagte, dass Konsultierte angaben, dass Vercels interne Linear- und GitHub-Integrationen die Hauptlast der Probleme trugen.

Er stellte fest, dass als sensibel markierte Umgebungsvariablen in Vercel geschützt sind; andere Variablen, die nicht gekennzeichnet wurden, müssen rotiert werden, um dasselbe Schicksal zu vermeiden.

Vercel folgte dieser Anweisung und forderte Kunden auf, ihre Umgebungsvariablen zu überprüfen und die Funktion für sensible Variablen der Plattform zu nutzen. Diese Art von Kompromittierung ist besonders besorgniserregend, da Umgebungsvariablen oft Geheimnisse wie API Schlüssel, private RPC-Endpunkte und Deployment-Anmeldedaten enthalten.

Wenn diese Werte kompromittiert wurden, könnten Angreifer möglicherweise Builds ändern, bösartigen Code einschleusen oder Zugang zu verbundenen Diensten für eine umfassendere Ausnutzung erhalten.

Im Gegensatz zu typischen Sicherheitsverletzungen, die auf DNS-Einträge oder Domain-Registrare abzielen, erfolgt die Kompromittierung auf der Hosting-Ebene auf der Ebene der Build-Pipeline. Das ermöglicht es Angreifern, das tatsächliche Frontend zu kompromittieren, das den Benutzern bereitgestellt wird, anstatt Besucher lediglich umzuleiten.

Bestimmte Projekte speichern sensible Konfigurationsdaten in Umgebungsvariablen, einschließlich Wallet-bezogener Dienste, Analyseanbieter und Infrastruktur-Endpunkte. Wenn auf diese Werte zugegriffen wurde, müssen Teams möglicherweise davon ausgehen, dass sie kompromittiert wurden, und sie rotieren.

Frontend-Angriffe sind bereits eine wiederkehrende Herausforderung im Kryptobereich. Jüngste Fälle von Domain-Hijacking haben dazu geführt, dass Benutzer auf bösartige Klone umgeleitet wurden, die darauf ausgelegt sind, Wallets zu leeren. Aber diese Angriffe erfolgen normalerweise auf DNS- oder Registrar-Ebene. Diese Änderungen können oft schnell mit Überwachungstools erkannt werden.

Eine Kompromittierung auf der Hosting-Ebene unterscheidet sich. Anstatt Benutzer auf eine gefälschte Website zu leiten, ändern Angreifer das tatsächliche Frontend. Benutzer können auf eine legitime Domain stoßen, die bösartigen Code bereitstellt, haben aber keine Ahnung, was vor sich geht.

Untersuchung läuft weiter, während Kryptoprojekte ihre Gefährdung überprüfen

Wie weit die Sicherheitsverletzung reichte oder ob Kunden-Deployments geändert wurden, ist unklar. Vercel sagte, seine Untersuchung sei im Gange und es werde die Stakeholder aktualisieren, sobald weitere Informationen verfügbar werden. Es teilte auch mit, dass betroffene Kunden direkt kontaktiert werden.

Zum Zeitpunkt der Veröffentlichung hat kein größeres Kryptoprojekt öffentlich bestätigt, eine Benachrichtigung von Vercel erhalten zu haben. Es wird jedoch erwartet, dass der Vorfall Teams dazu veranlasst, ihre Infrastruktur zu überprüfen, Anmeldedaten zu rotieren und zu untersuchen, wie sie Geheimnisse verwalten.

Die größere Lektion ist, dass die Sicherheit bei Krypto-Frontends nicht mit DNS-Schutz oder Smart-Contract-Audits endet. Abhängigkeiten von Cloud-Plattformen, CI/CD-Pipelines und KI-Integrationen erhöhen das Risiko weiter.

Wenn einer dieser vertrauenswürdigen Dienste kompromittiert wird, könnten Angreifer einen Kanal ausnutzen, der traditionelle Abwehrmaßnahmen umgeht und Benutzer direkt betrifft.

Der Vercel-Hack, der mit einem kompromittierten KI-Tool verbunden ist, veranschaulicht, wie Schwachstellen in der Lieferkette moderner Entwicklungsstacks kaskadierende Auswirkungen im gesamten Krypto-Ökosystem haben können.

Ihre Bank verwendet Ihr Geld. Sie bekommen die Reste. Sehen Sie sich unser kostenloses Video darüber an, wie Sie Ihre eigene Bank werden