حمله سایبری به پلتفرم توسعه ابری ورسل؛ افشای اطلاعات حساس با باجخواهی ۲ میلیون دلاری
- گروه مهاجم: گروه هکری معروف ShinyHunters مسئولیت این حمله را پذیرفت.
- اطلاعات سرقتشده: هکرها کلیدهای دسترسی (API)، سورس کدها، توکنهای گیتهاب و NPM و پایگاه داده کاربران را به سرقت بردند.
- نقطه نفوذ: مهاجمان از طریق آسیبپذیری در یک ابزار هوش مصنوعی شخص ثالث (Context.ai) به سیستم وارد شدند.
- وضعیت فریمورک Next.js: ورسل تایید کرد که هکرها به کدهای متنباز و فریمورک Next.js نفوذ نکردهاند.
شرکت ورسل (Vercel)، یکی از محبوبترین پلتفرمهای ابری میزبان توسعهدهندگان جاوا اسکریپت و خالق فریمورک قدرتمند Next.js، هدف یک حمله سایبری گسترده قرار گرفت. پس از انتشار شایعاتی مبنی بر نفوذ یک گروه هکری به سرورهای این شرکت، مدیران ورسل سرانجام این رخنه امنیتی را بهطور رسمی تایید کردند. این حادثه، زنگ خطری جدی برای هزاران توسعهدهندهای محسوب میشود که زیرساخت پروژههای خود را روی این پلتفرم مستقر میکنند.
تایید رسمی نفوذ توسط مدیران ورسل
تیم امنیتی ورسل با انتشار یک اطلاعیه رسمی اعلام کرد که مهاجمان توانستهاند به بخشهایی از سیستمهای داخلی این شرکت دسترسی غیرمجاز پیدا کنند. شرکت ورسل در این بیانیه تاکید میکند که این رخنه امنیتی تنها زیرمجموعه محدودی از مشتریان را تحت تاثیر قرار میدهد.
بخشی از بیانیه رسمی ورسل: «تیم امنیتی ما یک حادثه سایبری را شناسایی کرد که در آن مهاجمان به برخی از سیستمهای داخلی ورسل دسترسی پیدا کردند. ما هماکنون در حال بررسی ابعاد این حمله هستیم و از کارشناسان خبره امنیت سایبری برای رفع این مشکل کمک میگیریم. همچنین ما این موضوع را به مراجع قانونی اطلاع دادهایم و جزئیات بیشتر را در آینده منتشر میکنیم.»
هکرها چگونه به سیستمهای ورسل نفوذ کردند؟
بررسیها نشان میدهد که هکرها از طریق یک ابزار هوش مصنوعی شخص ثالث مسیر نفوذ خود را پیدا کردند. مدیرعامل ورسل در شبکه اجتماعی ایکس (توییتر سابق) توضیح داد که مهاجمان از طریق یک اپلیکیشن OAuth مرتبط با ابزار هوش مصنوعی Context.ai در محیط Google Workspace وارد سیستم شدند. هکرها در ابتدا حساب کاربری یکی از کارکنان ورسل را هک کردند. آنها سپس سطح دسترسی خود را از این اکانت معمولی ارتقا دادند و به محیطهای داخلی ورسل وارد شدند؛ جایی که توانستند حجم زیادی از اطلاعات رمزنگارینشده را استخراج کنند.
حراج اطلاعات حساس و درخواست باج ۲ میلیون دلاری
گروه هکری سرشناس با نام مستعار ShinyHunters در انجمنهای دارکوب مسئولیت این حمله را پذیرفت. این گروه ادعا میکند که اکنون در حال فروش پایگاه داده ورسل، سورس کدها و کلیدهای دسترسی (Access Keys) است. گزارشها نشان میدهد که هکرها برای جلوگیری از انتشار عمومی این دادهها، مبلغ ۲ میلیون دلار را به عنوان باج از شرکت ورسل درخواست کردهاند.
این گروه سایبری برای اثبات ادعای خود، یک فایل متنی حاوی اطلاعات کارکنان ورسل (شامل نام، آدرس ایمیل و وضعیت اکانت) را به اشتراک گذاشت. همچنین مهاجمان تصویری از یک داشبورد داخلی مربوط به سرویس Vercel Enterprise را منتشر کردند. خطرناکترین بخش این سرقت اطلاعاتی، دسترسی هکرها به اکانتهای کارکنان ارشد و کلیدهای API (شامل توکنهای حساس گیتهاب و NPM) است که میتواند پروژههای بسیاری از برنامهنویسان را با خطر مواجه کند.
اقدامات امنیتی ورسل برای محافظت از توسعهدهندگان
شرکت ورسل به کاربران خود اطمینان داد که خدمات ابری این پلتفرم بدون وقفه به کار خود ادامه میدهند و حمله هکری اختلالی در سرویسدهی ایجاد نکرده است. تیم فنی این شرکت پس از تحقیقات جامع تایید کرد که هکرها نتوانستهاند به هسته فریمورک Next.js و سایر پروژههای متنباز آسیبی برسانند. در حال حاضر، ورسل بهروزرسانیهای امنیتی جدیدی را در داشبورد کاربری اعمال میکند تا توسعهدهندگان بتوانند امنیت پروژههای خود را ارتقا دهند و توکنهای احتمالی لو رفته را ابطال کنند.
💡 تحلیل اختصاصی آلفاتک: خطرات زنجیره تامین و ابزارهای شخص ثالث
کارشناسان امنیت سایبری آلفاتک بر این باورند که هک شدن ورسل، بار دیگر نقطه ضعف بزرگ شرکتهای فناوری را نشان میدهد: اتصال ابزارهای شخص ثالث (Third-Party). اینکه یک گروه هکری بتواند از طریق مجوزهای یک ابزار هوش مصنوعی (Context.ai) به هسته مرکزی پلتفرمی مانند ورسل نفوذ کند، نشاندهنده ضعف در مدیریت دسترسیها (IAM) است. موضوع نگرانکنندهتر این است که تیم ورسل بخشی از اطلاعات حساس داخلی را رمزنگاری (Encrypt) نکرده بود. توسعهدهندگانی که از Vercel استفاده میکنند، باید در اسرع وقت تمام کلیدهای API، توکنهای گیتهاب و متغیرهای محیطی (Environment Variables) خود را تغییر دهند تا از حملات ثانویه جلوگیری کنند.
