L'incidente di sicurezza che ha colpito la piattaforma di sviluppo cloud Vercel ha destato allarme nel settore delle criptovalute, in seguito alla rivelazione da parte dell'azienda che alcuni hacker hanno compromesso parti dei suoi sistemi interni tramite uno strumento di intelligenza artificiale di terze parti.
Poiché molti progetti di criptovalute si affidano a Vercel per ospitare le proprie interfacce utente, la violazione evidenzia quanto i team Web3 dipendano da infrastrutture cloud centralizzate. Questa dipendenza crea una superficie di attacco spesso trascurata, in grado di eludere le difese tradizionali come il monitoraggio DNS e compromettere direttamente l'integrità del frontend.
Domenica Vercel ha dichiarato che l'intrusione ha avuto origine da uno strumento di intelligenza artificiale di terze parti collegato a un'app OAuth di Google Workspace. Tale strumento era già stato violato in un incidente più ampio che ha interessato centinaia di utenti di diverse organizzazioni, ha affermato l'azienda. Vercel ha confermato che solo un numero limitato di clienti è stato colpito e che i suoi servizi sono rimasti operativi.
L'azienda ha incaricato società esterne specializzate nella gestione degli incidenti e ha allertato le forze dell'ordine, indagando al contempo su come i dati possano essere stati compromessi.
Per l'account sono state elencate le chiavi di accesso, il codice sorgente, i record del database e le credenziali di distribuzione (token NPM e GitHub). Tuttavia, queste affermazioni non sono state verificate in modo indipendente.
A riprova di ciò, uno di questi esempi includeva circa 580 record di dipendenti con nomi, indirizzi email aziendali, stato dell'account e timestamp delle attività, insieme a uno screenshot di una dashboard interna.
L'attribuzione della responsabilità rimane incerta. Secondo quanto riportato, alcuni individui legati al gruppo principale di ShinyHunters hanno negato qualsiasi coinvolgimento. Il venditore ha anche affermato di aver contattato Vercel, chiedendo un riscatto, sebbene l'azienda non abbia rivelato se siano state avviate delle trattative.
Una violazione dell'IA da parte di terzi espone rischi infrastrutturali nascosti.
Anziché attaccare direttamente Vercel, gli aggressori hanno sfruttato l'accesso OAuth collegato a Google Workspace . Una debolezza della catena di fornitura di questo tipo è più difficile da identificare, poiché si basa su integrazioni affidabili piuttosto che su vulnerabilità evidenti.
Theo Browne, uno sviluppatore noto nella comunità del software, ha affermato che, secondo le persone consultate, le integrazioni interne di Vercel con Linear e GitHub erano le principali responsabili dei problemi.
Ha osservato che le variabili ambientali contrassegnate come sensibili in Vercel sono protette; altre variabili che non sono state segnalate devono essere ruotate per evitare la stessa sorte.
Vercel ha dato seguito a questa direttiva, esortando i clienti a rivedere le proprie variabili d'ambiente e a utilizzare la funzionalità per le variabili sensibili della piattaforma. Questo tipo di compromesso è particolarmente preoccupante perché le variabili d'ambiente spesso contengono informazioni riservate come chiavi API, endpoint RPC privati e credenziali di distribuzione.
Se questi valori venissero compromessi, gli aggressori potrebbero essere in grado di alterare le build, iniettare codice dannoso o ottenere l'accesso ai servizi connessi per uno sfruttamento più ampio.
A differenza delle tipiche violazioni che prendono di mira i record DNS o i registrar di dominio, la compromissione a livello di hosting avviene a livello della pipeline di build. Ciò consente agli aggressori di compromettere l'interfaccia utente effettiva fornita agli utenti, anziché limitarsi a reindirizzare i visitatori.
Alcuni progetti memorizzano dati di configurazione sensibili nelle variabili d'ambiente, inclusi i servizi relativi al portafoglio, i provider di analisi e gli endpoint dell'infrastruttura. Se a questi valori si accede, i team potrebbero dover presumere che siano stati compromessi e procedere alla loro rotazione.
Gli attacchi al frontend rappresentano da tempo una sfida ricorrente nel settore delle criptovalute. Recenti episodi di dirottamento di domini hanno portato gli utenti a essere reindirizzati verso cloni dannosi progettati per svuotare i portafogli. Tuttavia, questi attacchi si verificano solitamente a livello DNS o di registrar. Tali modifiche possono spesso essere rilevate rapidamente con strumenti di monitoraggio.
Una violazione a livello di hosting è diversa. Invece di indirizzare gli utenti a un sito fasullo, gli aggressori modificano l'interfaccia utente. Gli utenti potrebbero imbattersi in un dominio legittimo che diffonde codice dannoso, senza però rendersi conto di cosa stia succedendo.
Le indagini proseguono mentre i progetti di criptovalute esaminano la propria esposizione al rischio.
Non è chiaro quanto si sia estesa la violazione, né se siano state apportate modifiche alle implementazioni dei clienti. Vercel ha dichiarato che le indagini sono in corso e che aggiornerà le parti interessate non appena saranno disponibili ulteriori informazioni. Ha inoltre affermato che i clienti interessati vengono contattati direttamente.
Al momento della pubblicazione, nessun importante progetto crypto ha confermato pubblicamente di aver ricevuto una notifica da Vercel. Tuttavia, si prevede che l'incidente spingerà i team a verificare le proprie infrastrutture, a ruotare le credenziali e a esaminare le modalità di gestione dei dati sensibili.
La lezione più importante è che la sicurezza nelle interfacce crittografiche non si limita alla protezione DNS o alla verifica degli smart contract. Le dipendenze da piattaforme cloud, pipeline CI/CD e integrazioni con l'intelligenza artificiale aumentano ulteriormente il rischio.
Quando uno di questi servizi affidabili viene compromesso, gli aggressori potrebbero sfruttare un canale che aggira le difese tradizionali e colpisce direttamente gli utenti.
L'attacco hacker a Vercel, legato a uno strumento di intelligenza artificiale compromesso, illustra come le vulnerabilità della catena di fornitura negli stack di sviluppo moderni possano avere effetti a cascata sull'intero ecosistema delle criptovalute.
Non limitarti a leggere le notizie sulle criptovalute. Cerca di capirle. Iscriviti alla nostra newsletter. È gratis .