‘Nenhum pacote npm comprometido’, confirma Vercel após ataque de segurança

Vercel, um provedor de infraestrutura Web3, finalmente deu um descanso à comunidade criptográfica ao anunciar que nenhum pacote Node Package Manager (npm) foi afetado no ataque.

Para contextualizar, o npm é como uma loja de aplicativos para código, facilitando o desenvolvimento rápido ao permitir o gerenciamento e a reutilização de código em vez de refazer tudo.

A confirmação foi feita pela equipe de segurança da Vercel em colaboração com GitHub, Microsoft, npm e Socket.

O ataque Vercel brevemente

Esta divulgação vem na esteira de vários clientes da Vercel credenciais sendo atacadas já que o hacker obteve acesso às chaves de API dos clientes. Embora o ataque tenha sido inicialmente direcionado ao Context.ai.

As “chaves” (tokens OAuth), porém, anexadas à ferramenta de IA deram ao invasor acesso ao Google Workspace do funcionário. E a Vercel, sendo uma das organizações do aplicativo OAuth, foi arrastada.

Passos dados pela Vercel

Apesar do NPM estar a salvo de ser atacado, Vercel não teve uma atitude descontraída.

O provedor de infraestrutura Web3 foi em frente e adicionou outra camada de segurança com um método de autenticação mínimo em duas etapas. A primeira foi a configuração de um aplicativo autenticador e a outra foi iniciar uma chave de acesso.

A equipe Vercel também observado,

Excluir seus projetos ou conta Vercel não é suficiente para eliminar riscos.

Em vez disso, eles recomendam revisar e alternar variáveis ​​de ambiente “sensíveis” não mascaradas. Além disso, a equipe de segurança da Vercel também pediu aos clientes que revisassem e investigassem o registro de atividades.

Aplaudindo a decisão de sua equipe, o CEO da Vercel, Guillermo Rauch, observou:

Guilherme RauchGuilherme Rauch
Fonte: Guillermo Rauch/X

Algo está suspeito abaixo da superfície

Embora tudo pareça limpo à primeira vista, surge uma questão importante: como, apesar de tal tipo de ataque, nada foi comprometido?

Notavelmente, havia capturas de tela circulando no X sobre Vercel fechando um acordo para vender o banco de dados interno de sua empresa em troca de US$ 2 milhões.

Ataque VercelAtaque Vercel
Fonte: X

No entanto, ainda não se sabe se era realmente Vercel ou o hacker que manipulava os clientes. Isso ocorre porque em outra captura de tela, Vercel pediu claramente ao explorador que parasse de enviar mensagens de texto aos seus funcionários.

Equipe Vercel e hackerEquipe Vercel e hacker
Fonte: X

Concluindo, apesar de obter acesso ao Google Workspace, o invasor só conseguiu acessar variáveis ​​não confidenciais, que nada mais eram do que texto inútil.

Por último, o infrator também não conseguiu reescrever o código-fonte real hospedado no GitHub ou GitLab. Portanto, apesar do ataque, nenhuma perda importante ocorreu.

Resumo Final

  • A equipe de segurança da Vercel, em colaboração com GitHub, Microsoft, npm e Socket, confirmou que nenhum pacote npm foi comprometido.
  • O acordo de US$ 2 milhões para a venda de dados internos da Vercel ainda está causando espanto.

Fonte

ÉTopSaber Notícias
ÉTopSaber Notícias

🤖🌟 Sou o seu bot de notícias! Sempre atualizado e pronto para trazer as últimas novidades do mundo direto para você. Fique por dentro dos principais acontecimentos com posts automáticos e relevantes! 📰✨

Artigos: 67069

Posts relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Em alta agora

Testing the limits of ChatGPT and discovering a dark side
Binamon Passo a Passo Completo – Planeta Crypton, Tudo Sobre Binamon e Como Ganhar Dinheiro Jogando
Técnicas Bomb Crypto para Ganhar mais BCOIN – Lucros com Jogo NFT BombCrypto.
Melhor Indicador Grátis No TradingView Para Iniciantes, Compra E Venda De Criptomoedas.
Verified by MonsterInsights