Cryptonews

Drapeau rouge de cybersécurité : le piratage du service cloud basé sur l'IA expose des vulnérabilités dans les interfaces d'actifs numériques

Source
cryptonewstrend.com
Publié
Drapeau rouge de cybersécurité : le piratage du service cloud basé sur l'IA expose des vulnérabilités dans les interfaces d'actifs numériques

L’incident de sécurité de la plate-forme de développement cloud Vercel a suscité l’inquiétude dans le secteur de la cryptographie, suite à la révélation par la société que des attaquants ont compromis certaines parties de ses systèmes internes via un outil d’IA tiers.

Étant donné que de nombreux projets de cryptographie s'appuient sur Vercel pour héberger leurs interfaces utilisateur, la violation met en évidence à quel point les équipes Web3 sont dépendantes de l'infrastructure cloud centralisée. Cette dépendance crée une surface d’attaque souvent négligée, capable de contourner les défenses traditionnelles telles que la surveillance DNS et de compromettre directement l’intégrité du frontend.

Vercel a déclaré dimanche que l'intrusion provenait d'un outil d'IA tiers lié à une application Google Workspace OAuth. Cet outil a été piraté lors d'un incident plus important affectant des centaines d'utilisateurs de plusieurs organisations, a indiqué la société. Vercel a confirmé qu'un sous-ensemble limité de clients était concerné et que ses services restaient opérationnels.

L'entreprise a engagé des intervenants externes en cas d'incident et alerté la police tout en enquêtant sur la manière dont les données ont pu être consultées.

Les clés d'accès, le code source, les enregistrements de base de données et les informations d'identification de déploiement (jetons NPM et GitHub) ont été répertoriés pour le compte. Mais ce ne sont pas des affirmations établies de manière indépendante.

Pour preuve, l'un de ces exemples d'éléments comprenait environ 580 dossiers d'employés avec leurs noms, adresses e-mail d'entreprise, statut de compte et horodatages d'activité, ainsi qu'une capture d'écran d'un tableau de bord interne.

L'attribution reste floue. Les individus liés au groupe principal ShinyHunters ont nié toute implication, selon les rapports. Le vendeur a également déclaré avoir contacté Vercel pour exiger une rançon, même si la société n'a pas révélé si des négociations avaient eu lieu.

La compromission de l’IA tierce révèle un risque caché pour l’infrastructure

Plutôt que d'attaquer Vercel directement, les attaquants ont exploité l'accès OAuth lié à Google Workspace. Une faiblesse de la chaîne d’approvisionnement de cette nature est plus difficile à identifier, car elle dépend d’intégrations fiables plutôt que de vulnérabilités évidentes.

Theo Browne, un développeur connu dans la communauté du logiciel, a déclaré que les personnes consultées ont indiqué que les intégrations internes de Vercel Linear et GitHub étaient les plus touchées par les problèmes.

Il a observé que les variables d'environnement marquées comme sensibles dans Vercel sont sauvegardées ; les autres variables qui n'ont pas été signalées doivent être alternées pour éviter le même sort.

Vercel a donné suite à cette directive, exhortant les clients à revoir leurs variables d'environnement et à utiliser la fonctionnalité de variables sensibles de la plateforme. Ce type de compromission est particulièrement inquiétant car les variables d'environnement contiennent souvent des secrets tels que des clés API, des points de terminaison RPC privés et des informations d'identification de déploiement.

Si ces valeurs étaient compromises, les attaquants pourraient modifier les builds, injecter du code malveillant ou accéder aux services connectés pour une exploitation plus large.

Contrairement aux violations classiques qui ciblent les enregistrements DNS ou les bureaux d'enregistrement de domaines, la compromission au niveau de la couche d'hébergement se produit au niveau du pipeline de construction. Cela permet aux attaquants de compromettre l’interface réelle fournie aux utilisateurs plutôt que de simplement rediriger les visiteurs.

Certains projets stockent des données de configuration sensibles dans des variables d'environnement, notamment des services liés au portefeuille, des fournisseurs d'analyse et des points de terminaison d'infrastructure. Si ces valeurs étaient accessibles, les équipes devront peut-être supposer qu'elles ont été compromises et les alterner.

Les attaques frontales constituent déjà un défi récurrent dans le domaine de la cryptographie. De récents incidents de piratage de domaine ont conduit les utilisateurs à être redirigés vers des clones malveillants conçus pour vider les portefeuilles. Mais ces attaques surviennent généralement au niveau du DNS ou du bureau d’enregistrement. Ces changements peuvent souvent être détectés rapidement grâce aux outils de surveillance.

Un compromis au niveau de la couche d'hébergement diffère. Plutôt que de diriger les utilisateurs vers un faux site, les attaquants modifient l’interface réelle. Les utilisateurs peuvent rencontrer un domaine légitime diffusant du code malveillant, mais n'auront aucune idée de ce qui se passe.

L'enquête se poursuit alors que les projets de cryptographie examinent leur exposition

On ne sait pas exactement dans quelle mesure la violation a pénétré, ni si les déploiements des clients ont été modifiés. Vercel a déclaré que son enquête était en cours et qu'elle mettrait à jour les parties prenantes à mesure que de plus amples informations seraient disponibles. Il a également indiqué que les clients concernés étaient contactés directement.

Aucun projet majeur de cryptographie n’a confirmé publiquement avoir reçu une notification de Vercel au moment de la publication. Mais l’incident devrait inciter les équipes à auditer leur infrastructure, à alterner les informations d’identification et à examiner la manière dont elles gèrent les secrets.

La plus grande leçon est que la sécurité des interfaces cryptographiques ne s’arrête pas à la protection DNS ou aux audits de contrats intelligents. Les dépendances aux plateformes cloud, aux pipelines CI/CD et aux intégrations d’IA augmentent encore les risques.

Lorsqu’un de ces services de confiance est compromis, les attaquants peuvent exploiter un canal qui contourne les défenses traditionnelles et affecte directement les utilisateurs.

Le piratage de Vercel, lié à un outil d'IA compromis, illustre comment les vulnérabilités de la chaîne d'approvisionnement dans les piles de développement modernes peuvent avoir des effets en cascade sur l'ensemble de l'écosystème cryptographique.