00:00:00有人在安装Roblox外挂,导致Vercel被黑,可能会泄露
00:00:04你们项目所有的环境变量,而黑客勒索200万美元
00:00:09作为赎金。
00:00:10没错,这事儿既疯狂又可怕,我们深入了解一下。
00:00:17这是Vercel发布的公告,称他们发现了一起安全事件,
00:00:21涉及对某些Vercel内部系统的未经授权访问。
00:00:25这些系统可以访问你们的非敏感环境变量(顺便提一下,
00:00:29大多数变量默认就是非敏感的),还包含大量公司内部数据。
00:00:33这也是攻击者在兜售这些数据,声称可以发布恶意NPM包,
00:00:37感染数百万用户。
00:00:38但攻击者是如何获取这些信息的呢?
00:00:40为此,我们需要追踪一位Vercel员工的故事。
00:00:44他在寻找工作上的帮助,考虑各种可以
00:00:47借助AI来完成的方案,然后他偶然发现了一个叫Context.ai的产品,具体来说
00:00:52是那个叫“AI Office Suite”的旧产品,这是一个用来制作演示文稿、文档、
00:00:57电子表格,并代用户撰写电子邮件的工具。
00:01:00这位Vercel员工决定试一试,他用自己的Vercel谷歌
00:01:04Workspace账号注册,并授予了“允许所有”权限,这使得它能完全访问他的谷歌云端硬盘
00:01:09和Gmail。
00:01:10现在,你可能觉得使用公司账号并授予
00:01:13“允许所有”权限有点鲁莽。
00:01:14说实话,确实有点。
00:01:16但Context.ai是一家正规公司。
00:01:19他的谷歌账号并不是在这里被盗的。
00:01:21为了弄清真相,我们需要挖掘得更深一些。
00:01:23我们需要关注Context.ai的一位高权限员工。
00:01:27这位员工忙于构建Context.ai,试图跟上飞速发展的AI世界,
00:01:32想要放松一下,玩会儿Roblox。
00:01:35麻烦的是,我猜他玩游戏的技术不怎么样,所以想
00:01:39走捷径,于是开始寻找Roblox外挂,特别是某种自动挂机脚本,
00:01:44我猜他找到了一个并下载了下来,而且是用公司电脑下载的。
00:01:49我真不敢相信这就是发生的事情,简直太蠢了。
00:01:53更不出所料的是,他下载的Roblox外挂中含有信息窃取程序,
00:01:57一种被称为LumaStealer的程序。
00:01:59这是一款早在2022年就被发现的知名信息窃取工具。
00:02:03一旦进入你的电脑,它就会抓取你的实时会话Cookie和公司凭据。
00:02:07而对于我们的Context.ai员工,他电脑上的日志显示,该程序获得了
00:02:11他的谷歌Workspace凭据,以及像Supabase、
00:02:15Datadog和AuthKit等服务的密钥和登录信息。
00:02:16他在浏览器中登录过的任何账号都被盗了。
00:02:19攻击者随后利用这些凭据访问了Context.ai的内部AWS环境,
00:02:25当他们在里面四处查看时,他们挖到了宝藏。
00:02:27他们发现并攻破了一个数据库,里面存有他们旧版
00:02:32AI Office Suite用户的OAuth令牌。
00:02:33而你猜谁的令牌正好就在那里,等着被拿走?
00:02:36就是那位Vercel员工的。
00:02:37有了这个令牌,攻击者现在可以从Context.ai跳板到Vercel,接管
00:02:41该Vercel员工的谷歌Workspace账号,而无需密码或触发
00:02:46多因素身份验证提示。
00:02:48通过这个账号,攻击者获得了Vercel许多内部系统的访问权限,比如
00:02:51Linear,甚至是一个可以访问Vercel
00:02:55用户项目非敏感环境变量的后端。
00:02:56如果你以前没在Vercel设置过环境变量,你需要手动勾选
00:03:00一个复选框来将变量标记为敏感。
00:03:02如果你勾选了,它会被高度加密并对内部系统屏蔽,但默认
00:03:06是非敏感的,这些可以被解密成明文并在内部被访问。
00:03:10所有这一切让我们来到了4月19日,攻击者自称是Shiny Hunters,
00:03:15在Breach Forums上发帖勒索200万美元购买被盗数据。
00:03:19他们声称拥有源代码、NPM令牌、GitHub令牌、员工记录,甚至发布了
00:03:23Vercel内部企业后台的截图作为他们已获得访问权限的证据。
00:03:27有趣的是,真正的Shiny Hunters组织成员否认了
00:03:31参与此事,这意味着这可能只是一个试图利用他们品牌获利的关联方或冒名者,
00:03:36但无论如何,这一切竟然源于一个该死的Roblox外挂。
00:03:40一旦Vercel意识到遭到黑客攻击,他们就启动了事件响应,并确认
00:03:43像Next.js和Turbo Pack这样的核心开源项目是完全安全的,而且他们
00:03:48还将所有新创建的环境变量默认设为敏感。
00:03:52这就是此次黑客攻击的概述,但如果你像我一样是Vercel用户,你可能
00:03:55有大量的工作要做。
00:03:56你需要假设你在Vercel上拥有的所有非敏感环境变量都已被
00:04:00泄露,并且你需要主动从源头轮换这些密钥。
00:04:03你不能只是删除项目然后弃用Vercel。
00:04:06此外,如果你所在的公司担心员工使用了Context.ai,你可以进入
00:04:10谷歌Workspace审计你授权的OAuth应用,特别注意查找被攻破的
00:04:14Context.ai应用ID,我会把提到信息窃取程序的博客链接留在这里,里面有
00:04:19关于如何处理的详细信息。
00:04:20不过,这件事的教训是,一个过度授权的AI工具和一个
00:04:24试图在Roblox中作弊的普通员工,就足以破坏网络上最大的基础设施
00:04:28平台之一。
00:04:29请不要在你的工作电脑上下载游戏外挂,或者说,任何你
00:04:33不信任的东西。
00:04:34在下方评论区告诉我你对此事的看法,顺便
00:04:37订阅频道,我们下期再见。
00:04:40[音乐]