แพลตฟอร์มพัฒนาบนคลาวด์ Vercel เปิดเผยเมื่อวันอาทิตย์ว่า ผู้โจมตีได้เข้ายึดระบบภายในบางส่วนผ่านเครื่องมือ AI ของบุคคลที่สามที่เชื่อมโยงกับแอป Google Workspace OAuth ตามแถลงการณ์อย่างเป็นทางการของบริษัท โดยมีลูกค้าที่ได้รับผลกระทบเพียงจำนวนจำกัด และบริการของ Vercel ยังคงทำงานได้ตามปกติ เหตุการณ์นี้ทำให้เกิดความกังวลอย่างมากในอุตสาหกรรมคริปโต เนื่องจากโครงการ Web3 จำนวนมากอาศัย Vercel ในการโฮสต์ส่วนต่อประสานกับผู้ใช้ ซึ่งสะท้อนให้เห็นถึงการพึ่งพาโครงสร้างพื้นฐานคลาวด์ที่รวมศูนย์
Vercel ยืนยันว่ามีการถูกบุกรุกเครื่องมือ AI ของบุคคลที่สามดังกล่าวในเหตุการณ์ที่ใหญ่กว่า ซึ่งส่งผลกระทบต่อผู้ใช้หลายร้อยคนจากหลายองค์กร บริษัทได้ว่าจ้างผู้ตอบสนองต่อเหตุการณ์จากภายนอก แจ้งตำรวจ และกำลังสืบสวนว่าข้อมูลอาจถูกเข้าถึงได้อย่างไร ตามที่เปิดเผย ระบุว่าคีย์การเข้าถึง ซอร์สโค้ด บันทึกฐานข้อมูล และข้อมูลรับรองการดีพลอย (NPM และโทเค็นของ GitHub) ถูกแสดงไว้สำหรับบัญชีที่ได้รับผลกระทบ เพื่อเป็นหลักฐานของการถูกบุกรุก มีการเปิดเผยบันทึกพนักงานราว 580 รายพร้อมชื่อ ที่อยู่อีเมลของบริษัท สถานะบัญชี และเวลาประทับกิจกรรม รวมถึงภาพหน้าจอของแดชบอร์ดภายใน
การระบุผู้กระทำผิดและข้อเรียกร้องค่าไถ่
ยังไม่ชัดเจนว่าเป็นใคร โดยบุคคลที่เกี่ยวข้องกับกลุ่ม ShinyHunters ระดับแกนกลางปฏิเสธการมีส่วนเกี่ยวข้อง ตามรายงาน ผู้ขายกล่าวว่าได้ติดต่อ Vercel เพื่อเรียกร้องค่าไถ่ อย่างไรก็ดี บริษัทไม่ได้เปิดเผยว่าได้มีการเจรจาหรือไม่
การบุกรุกเครื่องมือ AI ของบุคคลที่สามและช่องโหว่ OAuth
แทนที่จะโจมตี Vercel โดยตรง ผู้โจมตีได้ใช้ประโยชน์จากการเข้าถึงผ่าน OAuth ที่เชื่อมโยงกับ Google Workspace ความอ่อนแอของซัพพลายเชนนี้ตรวจจับได้ยาก เพราะมันอาศัยการผสานการทำงานที่ไว้วางใจได้ ไม่ใช่ช่องโหว่ที่เห็นได้ชัด
Theo Browne นักพัฒนาซอฟต์แวร์ซึ่งเป็นที่รู้จักในวงการซอฟต์แวร์ระบุว่า ผู้ที่ถูกสอบถามได้ชี้ให้เห็นว่าอินทิเกรชันภายใน Linear และ GitHub ของ Vercel คือจุดที่ได้รับผลกระทบหนักที่สุด เขาสังเกตว่า ตัวแปรสภาพแวดล้อมที่ถูกทำเครื่องหมายว่าเป็นข้อมูลละเอียดอ่อนใน Vercel ได้รับการปกป้องไว้แล้ว ในขณะที่ตัวแปรอื่น ๆ ที่ไม่ได้ถูกตั้งค่าสถานะไว้จะต้องถูกหมุนเปลี่ยนเพื่อหลีกเลี่ยงชะตากรรมเดียวกัน
ต่อมา Vercel ได้กระตุ้นให้ลูกค้าตรวจสอบตัวแปรสภาพแวดล้อมของตน และใช้คุณสมบัติตัวแปรที่เป็นข้อมูลละเอียดอ่อนของแพลตฟอร์ม คำสั่งนี้มีความสำคัญเป็นพิเศษ เพราะตัวแปรสภาพแวดล้อมมักมีข้อมูลลับ เช่น คีย์ API ปลายทาง RPC แบบส่วนตัว และข้อมูลรับรองการดีพลอย หากค่าเหล่านี้ถูกบุกรุก ผู้โจมตีอาจปรับเปลี่ยนบิลด์ แทรกโค้ดที่เป็นอันตราย หรือเข้าถึงบริการที่เชื่อมต่ออยู่เพื่อการแสวงหาประโยชน์ในวงกว้าง
การบุกรุกส่วนหน้าเทียบกับช่องทางโจมตีแบบดั้งเดิม
ไม่เหมือนกับการบุกรุกทั่วไปที่มุ่งเป้าไปที่ระเบียน DNS หรือผู้รับจดโดเมน การบุกรุกที่เลเยอร์โฮสติ้งเกิดขึ้นในระดับไปป์ไลน์การบิลด์ ซึ่งทำให้ผู้โจมตีสามารถบุกรุกส่วนหน้า (frontend) ที่แท้จริงซึ่งส่งให้ผู้ใช้ได้ แทนที่จะเป็นเพียงการเปลี่ยนเส้นทางผู้เข้าชม
โครงการคริปโตบางแห่งเก็บข้อมูลคอนฟิกที่ละเอียดอ่อนไว้ในตัวแปรสภาพแวดล้อม รวมถึงบริการที่เกี่ยวข้องกับวอลเล็ต ผู้ให้บริการแอนะลิติก และปลายทางโครงสร้างพื้นฐาน หากมีการเข้าถึงค่าเหล่านั้น ทีมอาจต้องสันนิษฐานว่าถูกบุกรุกและทำการหมุนเปลี่ยนค่าเหล่านั้น
การโจมตีส่วนหน้าเป็นความท้าทายที่เกิดซ้ำในสายงานคริปโต เหตุการณ์ล่าสุดของการแย่งชิงโดเมนทำให้ผู้ใช้ถูกเปลี่ยนเส้นทางไปยังโคลนที่เป็นอันตรายซึ่งออกแบบมาเพื่อดึงเงินจากวอลเล็ต อย่างไรก็ตาม การโจมตีเหล่านั้นมักเริ่มต้นที่ระดับ DNS หรือระดับนายทะเบียนโดเมน และมักตรวจพบได้อย่างรวดเร็วด้วยเครื่องมือเฝ้าระวัง
การบุกรุกที่เลเยอร์โฮสติ้งแตกต่างอย่างมีนัยสำคัญในเชิงพื้นฐาน แทนที่จะเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ปลอม ผู้โจมตีจะปรับเปลี่ยนส่วนหน้า (frontend) ที่แท้จริง ผู้ใช้อาจพบโดเมนที่ถูกต้องซึ่งให้บริการโค้ดที่เป็นอันตรายโดยไม่มีสัญญาณใด ๆ ว่ามีการบุกรุกเกิดขึ้น
สถานะการสืบสวนและการตอบสนองของอุตสาหกรรม
ยังไม่ชัดเจนว่าการบุกรุกทะลุเข้าไปไกลเพียงใด หรือมีการเปลี่ยนแปลงการดีพลอยของลูกค้ารายใดหรือไม่ Vercel ระบุว่าการสืบสวนยังดำเนินอยู่ และจะอัปเดตผู้มีส่วนได้ส่วนเสียเมื่อมีข้อมูลเพิ่มเติม บริษัทก็ยืนยันด้วยว่าลูกค้าที่ได้รับผลกระทบกำลังถูกติดต่อโดยตรง
ณ เวลาที่รายงาน ไม่มีโครงการคริปโตขนาดใหญ่ใดที่ยืนยันต่อสาธารณะว่ได้รับการแจ้งเตือนจาก Vercel อย่างไรก็ตาม คาดว่าเหตุการณ์นี้จะกระตุ้นให้ทีมตรวจสอบโครงสร้างพื้นฐาน อัปเดต/หมุนเปลี่ยนข้อมูลรับรอง และทบทวนวิธีจัดการข้อมูลลับ
นัยสำคัญในวงกว้างคือ ความปลอดภัยในส่วนหน้า (frontend) ของคริปโตไม่ได้จำกัดแค่การป้องกัน DNS หรือการตรวจสอบสัญญาอัจฉริยะเท่านั้น การพึ่งพาแพลตฟอร์มคลาวด์ ไปป์ไลน์ CI/CD และการอินทิเกรตกับ AI ยังเพิ่มความเสี่ยงอีกด้วย เมื่อหนึ่งในบริการที่เชื่อถือได้ถูกบุกรุก ผู้โจมตีสามารถใช้ช่องทางที่ข้ามการป้องกันแบบดั้งเดิมและส่งผลโดยตรงต่อผู้ใช้ เหตุการณ์ของ Vercel ที่เชื่อมโยงกับเครื่องมือ AI ที่ถูกบุกรุก แสดงให้เห็นว่า “ช่องโหว่ในซัพพลายเชน” ในสแตกการพัฒนาสมัยใหม่อาจส่งผลกระทบต่อเนื่องไปทั่วทั้งระบบนิเวศคริปโตได้อย่างไรบ้าง
