Крупная облачная платформа для разработки Vercel, на которой размещаются пользовательские интерфейсы множества криптопроектов и Web3-приложений, подтвердила факт несанкционированного доступа к своим внутренним системам. По данным компании, инцидент произошёл из-за компрометации стороннего AI-инструмента, интегрированного через OAuth-приложение Google Workspace. Этот инструмент был взломан в рамках более масштабной атаки, затронувшей сотни пользователей из различных организаций.
Ранее на хакерском форуме BreachForums появилось объявление о продаже внутренней базы данных Vercel, ключей доступа и исходного кода за 2 миллиона долларов. Стартовая цена была установлена в размере 500 000 долларов в биткойнах. Продавец, предположительно связанный с группировкой ShinyHunters, утверждал, что контактировал с компанией через Telegram с требованием выкупа, однако Vercel не раскрывает деталей возможных переговоров. Представители ядра ShinyHunters позже отрицали свою причастность к инциденту.
Среди данных, выставленных на продажу, фигурируют высокочувствительные сведения: права доступа учётных записей сотрудников, API-ключи, а также токены для доступа к NPM и GitHub. В качестве доказательства был представлен образец, содержащий около 580 записей сотрудников с именами, корпоративными email-адресами, статусом учётных записей и временными метками активности, а также скриншот внутренней панели управления.
Vercel заявила, что затронута лишь ограниченная группа клиентов, а основные услуги продолжают работать в штатном режиме. Компания активировала процесс реагирования на инциденты, уведомила правоохранительные органы и начала связываться с пострадавшими клиентами. Расследование продолжается.
Особую тревогу в криптоиндустрии вызывает характер атаки. В отличие от традиционных взломов на уровне DNS или регистраторов доменов, которые можно относительно быстро обнаружить, эта компрометация произошла на уровне хостинговой платформы и конвейера сборки (CI/CD). Это означает, что злоумышленники потенциально могут модифицировать сам фронтенд (пользовательский интерфейс), который доставляется конечным пользователям, а не просто перенаправлять их на фишинговый сайт. Пользователь может видеть легитимный домен, но загружаемый код будет содержать вредоносные элементы.
Разработчик Тео Браун, комментируя ситуацию, отметил, что основные проблемы коснулись внутренних интеграций Vercel с Linear и GitHub. Он указал, что переменные окружения, помеченные как чувствительные в Vercel, защищены, однако все остальные переменные необходимо заменить (ротировать). Vercel последовала этой рекомендации, призвав клиентов пересмотреть свои переменные окружения и использовать встроенную функцию платформы для защиты чувствительных данных.
Уязвимость такого рода особенно опасна, поскольку в переменных окружения часто хранятся секретные данные: API-ключи, приватные RPC-эндпоинты и учётные данные для развёртывания. Их компрометация может позволить атакующим изменять сборки, внедрять вредоносный код или получать доступ к связанным сервисам для более широкой эксплуатации.
На момент публикации ни один крупный криптопроект публично не подтвердил получение уведомления от Vercel. Однако ожидается, что инцидент заставит команды проаудировать свою инфраструктуру, заменить учётные данные и пересмотреть методы управления секретами. Этот случай наглядно демонстрирует, что безопасность в криптопространстве не ограничивается защитой DNS или аудитом смарт-контрактов. Зависимость от облачных платформ, инструментов CI/CD и AI-интеграций создаёт дополнительные векторы атак, которые могут обходить традиционные средства защиты и напрямую влиять на пользователей.
